江民3.21病毒播报:玛格尼亚和劈啪斯变种
2009-03-21 20:33:10 来源:WEB开发网江民今日提醒您注意:在今天的病毒中Trojan/PSW.Magania.mvs“玛格尼亚”变种mvs和Trojan/PSW.PaPRas.bw“劈啪斯”变种bw值得关注。
英文名称:Trojan/PSW.Magania.mvs
中文名称:“玛格尼亚”变种mvs
病毒长度:126542字节
病毒类型:盗号木马
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
md5 校验:5bd40244bdf1f5b4f37066885e75295e
特征描述:
Trojan/PSW.Magania.mvs“玛格尼亚”变种mvs是“玛格尼亚”盗号木马家族中的最新成员之一,采用高级语言编写,并且经过加壳保护处理。“玛格尼亚”变种mvs运行后,会自我复制到被感染计算机系统的“%SystemRoot%\system32\”目录下,重新命名为“j3ewro.exe”。同时,还会在相同目录和“%SystemRoot%\system32\drivers\”目录下释放经过加壳保护的恶意DLL功能组件“jwedsfdo0.dll”和恶意驱动程序“klif.sys”,并设置这些文件的属性为“系统、只读、隐藏”。尝试结束部分安全软件的进程,利用释放的恶意驱动程序“klif.sys”实现木马文件及相关注册表项的隐藏,还会通过鼠标点击模拟的方式绕过某些主动防御功能的监控,以此提高了木马的生存几率,防止被轻易地发现和查杀。该木马是一个专门盗取“十二之天”、“巨商Online”、“冒险岛oline”、“魔力宝贝”、“仙境传说”等网络游戏会员账号的木马程序,运行后会在被感染系统后台秘密监视系统中正在运行的所有进程。一旦发现指定的网络游戏进程存在,便会通过消息钩子、内存截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息,并在后台将窃取到的信息发送到骇客指定的远程服务器站点上(地址加密存放),致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失,给游戏玩家造成了不同程度的损失。另外,“玛格尼亚”变种mvs可能会利用U盘等移动设备进行传播,其会通过在被感染系统注册表启动项中添加键值“jvsoft”的方式实现木马的开机自启。
英文名称:Trojan/PSW.Papras.bw
中文名称:“劈啪斯”变种bw
病毒长度:34816字节
病毒类型:盗号木马
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:956b78db3e478b8b5b5c8f4ebca1553c
特征描述:
Trojan/PSW.Papras.bw“劈啪斯”变种bw是“劈啪斯”木马家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写,并且经过加壳保护处理。“劈啪斯”变种bw运行后,会自我复制到被感染计算机系统的“%SystemRoot%\”目录下,重新命名为“9129837.exe”,还会在该目录下释放恶意驱动程序“new_drv.sys”。将恶意代码注入到所有系统进程中隐密运行,同时还会关闭“wscsvc”(Windows安全中心)和“Sharedaccess”(Windows防火墙)服务,并利用“Rootkit”技术实现木马文件、注册表项以及进程等项目的隐藏,从而更好的防止被发现和查杀,提高了自身的生存几率。在被感染计算机系统的后台秘密窃取用户系统中的机密信息(例如账号和密码等私密信息),并在后台将窃取到的信息发送到骇客指定的邮箱里(地址加密存放),从而给被感染计算机用户带来了不同程度的损失。另外,“劈啪斯”变种bw会在注册表启动项中添加键值“ttool”,以此实现开机后的自动运行。
赞助商链接