江民2.28病毒播报：魔兽贼和克隆先生变种

核心提示：江民今日提醒您注意：在今天的病毒中Trojan/PSW.WOW.ie“魔兽贼”变种ie和Packed.Klone.rf“克隆先生”变种rf值得关注，英文名称：Trojan/PSW.WOW.ie中文名称：“魔兽贼”变种ie病毒长度：23616字节病毒类型：盗号木马危险级别：★★影响平台：Win 9X/ME/NT/2000

江民今日提醒您注意：在今天的病毒中Trojan/PSW.WOW.ie“魔兽贼”变种ie和Packed.Klone.rf“克隆先生”变种rf值得关注。

英文名称：Trojan/PSW.WOW.ie
　　中文名称：“魔兽贼”变种ie
　　病毒长度：23616字节
　　病毒类型：盗号木马
　　危险级别：★★
　　影响平台：Win 9X/ME/NT/2000/XP/2003
　　md5 校验：3145af7d84b4dbe73ce1f413d7c04e47
　　特征描述：
　　Trojan/PSW.WOW.ie“魔兽贼”变种ie是“魔兽贼”盗号木马家族中的最新成员之一，采用高级语言编写，并且经过加壳保护处理。该盗号木马是一个由其它恶意程序释放出来的DLL功能组件，一般会被插入到系统桌面程序“explorer.exe”等几乎所有的进程中加载运行，并在后台执行恶意操作，隐藏自我，防止被查杀。在后台遍历被感染计算机系统中正在运行的所有进程，如果发现某些指定的安全软件存在，便会尝试将其强行关闭，从而达到了自我保护的目的。“魔兽贼”变种ie是一个专门盗取“魔兽世界Online”网络游戏会员账号的木马程序，会在被感染计算机的后台秘密监视用户系统中所运行的所有应用程序的窗口标题，然后利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息，并在后台将窃取到的信息发送到骇客指定的远程服务器站点上（地址加密存放），致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家造成不同程度的虚拟财产损失。同时，“魔兽贼”变种ie还具有窃取玩家游戏账号密码保护的功能。因此，当游戏玩家发现自己的游戏账号被盗时，请千万不要在当前被感染的计算机上登陆该网络游戏的官方网站去找回游戏密码，否则会连同玩家的密码保护资料一同被骇客所盗取，给用户造成更大程度的损失。另外，“魔兽贼”变种ie会通过在被感染计算机系统注册表启动项中添加键值的方式实现开机自启。

英文名称：Packed.Klone.rf
　　中文名称：“克隆先生”变种rf
　　病毒长度：955758字节
　　病毒类型：木马
　　危险级别：★★
　　影响平台：Win 9X/ME/NT/2000/XP/2003
　　MD5 校验：8083378040d287ce807633755966faa7
　　特征描述：
　　Packed.Klone.rf“克隆先生”变种rf是“克隆先生”木马家族中的最新成员之一，采用“Borland Delphi 6.0 - 7.0”编写，并且经过加壳保护处理。“克隆先生”变种rf运行后，会在被感染计算机系统的“%SystemRoot%\”目录下释放经过加壳保护的灰鸽子远程控制木马“Hacker.com.cn.exe”，并设置文件属性为“系统、只读、隐藏”。将恶意代码注入到IE浏览器进程“iexplore.exe”中隐密运行，同时隐藏该进程以保护其不被轻易地发现。在被感染计算机后台不断尝试与控制端（ip地址为：202.106.***.39:8000）进行连接，致使被感染计算机沦为骇客的傀儡主机。骇客通过该木马可以向被感染计算机发送任意指令，执行任意操作，其中包括：文件管理、进程控制、注册表操作、远程命令执行、屏幕监控、键盘监听、视频监控等，给被感染计算机用户的个人隐私甚至是商业机密造成了不同程度的侵害。同时，骇客还可以向傀儡主机发送大量的恶意程序，致使用户面临更多不同程度的威胁。另外，该远程控制木马会在被感染计算机中注册名为“GrayPigeon_Hacker.com.cn”的系统服务，以此实现木马的开机自动运行。