WEB开发网
开发学院网络安全病毒数据库 江民5.21病毒播报:网游窃贼和克隆先生变种 阅读

江民5.21病毒播报:网游窃贼和克隆先生变种

 2009-05-21 20:34:47 来源:WEB开发网   
核心提示:江民今日提醒您注意:在今天的病毒中Trojan/PSW.OnLineGames.aoqa“网游窃贼”变种aoqa和Packed.Klone.axg“克隆先生”变种axg值得关注,英文名称:Trojan/PSW.OnLineGames.aoqa中文名称:“网游窃贼”变种aoqa病毒长度:33720字节病毒类型:盗号木马危

江民今日提醒您注意:在今天的病毒中Trojan/PSW.OnLineGames.aoqa“网游窃贼”变种aoqa和Packed.Klone.axg“克隆先生”变种axg值得关注。

英文名称:Trojan/PSW.OnLineGames.aoqa
  中文名称:“网游窃贼”变种aoqa
  病毒长度:33720字节
  病毒类型:盗号木马
  危险级别:★
  影响平台:Win 9X/ME/NT/2000/XP/2003
  md5 校验:fdd6c8beb3e00b79cd179252f2a85b3c
  特征描述:
  Trojan/PSW.OnLineGames.aoqa“网游窃贼”变种aoqa是“网游窃贼”盗号木马家族中的最新成员之一,采用高级语言编写,并且经过加壳保护处理。“网游窃贼”变种aoqa运行后,会在被感染计算机系统的“%USERPROFILE%\Local Settings\Temp\”目录下释放临时的恶意驱动程序“Migsni.sys”(使用完成后会将其删除)。在被感染计算机的后台遍历当前系统中所有正在运行的进程,一旦发现指定的安全软件存在便会尝试将其结束,从而达到了自我保护的目的。在被感染系统的后台连接骇客指定的远程服务器站点“http://home.x*6.cn/”,读取配置文件“fa123.txt”,下载指定的恶意程序并自动调用运行。其中,所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,致使用户面临更多的威胁。“网游窃贼”变种aoqa还会根据该配置文件修改系统中的“hosts”文件,在其中添加大量与计算机安全相关的站点以及一些网络游戏的官方网站等,利用域名映像劫持技术来屏蔽用户对这些站点的访问,致使用户无法通过这些站点查阅相关的解决方案以及在账号失窃后无法通过官网找回,从而对用户造成了极大程度的损失与干扰。

英文名称:Packed.Klone.axg
  中文名称:“克隆先生”变种axg
  病毒长度:812544字节
  病毒类型:木马
  危险级别:★★
  影响平台:Win 9X/ME/NT/2000/XP/2003
  MD5 校验:debb591f983fbe8dfc59dfd45b69d45d
  特征描述:
  Packed.Klone.axg“克隆先生”变种axg是“克隆先生”木马家族中的最新成员之一,采用“Borland Delphi 6.0 - 7.0”编写,并且经过加壳保护处理。“克隆先生”变种axg运行后,会在被感染计算机系统的“C:\Program Files\Common Files\Microsoft Shared\MSInfo\”目录下释放恶意程序“rejoice2009.exe”(文件属性设置为“系统、隐藏”)。“克隆先生”变种axg运行时,会将恶意代码注入到新创建的“iexplorer.exe”进程中隐秘运行。不断尝试与控制端(ip地址为:169.254.*.119:8181)进行连接,如果连接成功,则被感染的计算机就会沦为傀儡主机。骇客可以向被感染的计算机发送恶意指令,从而执行任意操作(文件管理、进程控制、注册表操作、远程命令执行、屏幕监控、键盘监听、鼠标控制、视频监控等),给用户的个人隐私甚至是商业机密造成不同程度的损失。同时,骇客还可以向傀儡主机发送大量的恶意程序,从而对用户的信息安全构成严重的威胁。“克隆先生”变种axg会在被感染系统中注册名为“Windows_rejoice2009”的系统服务,以此实现木马的开机自启。

Tags:江民 病毒 播报

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接