江民3.17病毒播报：网游窃贼和毒包变种病毒

核心提示：江民今日提醒您注意：在今天的病毒中Trojan/PSW.OnLineGames.arab“网游窃贼”变种arab和TrojanDownloader.CodecPack.i“毒包”变种i值得关注，英文名称：Trojan/PSW.OnLineGames.arab中文名称：“网游窃贼”变种arab病毒长度：476037字节病

江民今日提醒您注意：在今天的病毒中Trojan/PSW.OnLineGames.arab“网游窃贼”变种arab和TrojanDownloader.CodecPack.i“毒包”变种i值得关注。

英文名称：Trojan/PSW.OnLineGames.arab
　　中文名称：“网游窃贼”变种arab
　　病毒长度：476037字节
　　病毒类型：盗号木马
　　危险级别：★★
　　影响平台：Win 9X/ME/NT/2000/XP/2003
　　md5 校验：663cefae3262bfe6afbcd9dfab838552
　　特征描述：
　　Trojan/PSW.OnLineGames.arab“网游窃贼”变种arab是“网游窃贼”盗号木马家族中的最新成员之一，采用高级语言编写，并且经过加壳保护处理。“网游窃贼”变种arab运行后，会在被感染计算机系统的“%USERPROFILE%\Local Settings\Temp\”目录下释放经过加壳保护的木马程序“2.exe”、“3.exe”、“4.exe”、“6.exe”，以及某游戏的外挂程序“dnfsq(0).exe”，并借此外挂的运行达到迷惑用户的目的。“网游窃贼”变种arab所释放的木马程序分别会盗取“刀剑英雄”、“大话西游2”、“QQ华夏”、“寻仙”等几款网络游戏的账号信息。这些木马程序运行后，会分别向被感染计算机的“%SystemRoot%\system32\”目录下释放随机文件名的恶意DLL功能组件，并将这些DLL组件插入到系统桌面程序“explorer.exe”等几乎所有的进程中加载运行。在后台执行恶意操作，以此隐藏自我，防止被轻易地发现和查杀。同时，“网游窃贼”变种arab会将释放的恶意DLL组件名称添加至注册表“AppInit_DLLs”的键值中，从而实现了盗号木马的开机自动运行。

英文名称：TrojanDownloader.CodecPack.i
　　中文名称：“毒包”变种i
　　病毒长度：91652字节
　　病毒类型：木马下载器
　　危险级别：★★
　　影响平台：Win 9X/ME/NT/2000/XP/2003
　　MD5 校验：73e5b218ab455a4b5dc63e4887ec2f74
　　特征描述：
　　TrojanDownloader.CodecPack.i“毒包”变种i是“毒包”木马家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写，并且经过加壳保护处理。“毒包”变种i运行后，会在注册表中创建“HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\MSFox”项，并将加密后的木马配置信息保存至其中，从而提高了木马的隐密程度。这些配置信息中包含有其它恶意程序的下载地址，“毒包”变种i会根据这些下载地址在被感染计算机系统的后台下载恶意程序并自动调用运行。这些恶意程序都被伪装成图片格式的文件，但实为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，致使被感染计算机用户面临更多不同程度的风险，极大地降低了被感染系统的安全性。另外，“毒包”变种i会在被感染系统注册表启动项中添加键值“MSFox”，并以此实现木马的开机自启。