江民7.3病毒播报：Hosts劫持者和窃贼Ld变种

核心提示：江民今日提醒您注意：在今天的病毒中Trojan/Qhost.fw“Hosts劫持者”变种fw和Trojan/PSW.LdPinch.qlg“窃贼Ld”变种qlg值得关注，英文名称：Trojan/Qhost.fw中文名称：“Hosts劫持者”变种fw病毒长度：64000字节病毒类型：木马危险级别：★★影响平台：Win 9

江民今日提醒您注意：在今天的病毒中Trojan/Qhost.fw“Hosts劫持者”变种fw和Trojan/PSW.LdPinch.qlg“窃贼Ld”变种qlg值得关注。

英文名称：Trojan/Qhost.fw
　　中文名称：“Hosts劫持者”变种fw
　　病毒长度：64000字节
　　病毒类型：木马
　　危险级别：★★
　　影响平台：Win 9X/ME/NT/2000/XP/2003
　　md5 校验：79b2140a6ef817c067f0a4a224162b83
　　特征描述：
　　Trojan/Qhost.fw“Hosts劫持者”变种fw是“Hosts劫持者”木马家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写，是一个由其它恶意程序释放出来的DLL功能组件。“Hosts劫持者”变种fw运行后，会在被感染计算机系统的“%SystemRoot%\system32\drivers\”目录下释放恶意驱动程序“pcidump.sys”。修改“%SystemRoot%\system32\drivers\etc\hosts”文件，通过域名映像劫持功能屏蔽大量的安全类站点，致使用户无法获取安全信息。隐藏“Windows文件保护”提示窗口，使得木马在替换系统文件时不被用户所察觉。在所有磁盘分区中“.html”和“.htm”文件的尾部添加恶意代码，以此实施网页挂马。感染C盘以外分区中除了“QQ.exe”和“360safe.exe”之外的所有EXE文件，被感染的文件可能因此遭受破坏而无法正常运行。被感染的文件运行后，会在后台下载指定的恶意程序并调用运行。“Hosts劫持者”变种fw还会下载其它的恶意程序，例如网络游戏盗号木马、远程控制木马或恶意广告程序（流氓软件）等，致使用户面临更多的威胁。“Hosts劫持者”变种fw可通过自动播放功能进行传播与破坏，其会在被感染系统的系统盘根目录下创建“autorun.inf”（自动播放配置文件）和木马主程序文件“1.exe”（“Hosts劫持者”变种fw），文件属性设置为“系统、隐藏、只读”，以此实现双击盘符后激活木马，从而给计算机用户造成更多的威胁。其还会利用“MS08-067”漏洞对大量指定的ip地址进行溢出攻击，存在漏洞的计算机一旦被其攻破，便可执行下载、运行恶意程序等恶意指令，从而对系统造成了十分严重的侵害。

英文名称：Trojan/PSW.LdPinch.qlg
　　中文名称：“窃贼Ld”变种qlg
　　病毒长度：25194字节
　　病毒类型：盗号木马
　　危险级别：★
　　影响平台：Win 9X/ME/NT/2000/XP/2003
　　MD5 校验：de7709e92027e03434ca3f739d6bc3f3
　　特征描述：
　　Trojan/PSW.LdPinch.qlg“窃贼Ld”变种qlg是“窃贼Ld”盗号木马家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写，并且经过加壳保护处理。“窃贼Ld”变种qlg运行后，会在被感染系统的“%SystemRoot%\system32\”目录下释放加壳的恶意DLL组件“aBuH8MAyRRuJ.dll”（文件属性为“系统、隐藏”），在“%SystemRoot%\fonts\”目录下释放存有加密地址的配置文件“bHE32ygdPgfEn9tY.Ttf”。“窃贼Ld”变种qlg是一个专门盗取网络游戏“梦幻西游Online”会员账号的木马程序，运行时会监视系统中是否存在相应的游戏模块。一旦发现这些模块的存在，便会通过安装消息钩子、内存截取等技术获取玩家输入的帐号、密码以及密保卡数据等信息，然后在后台将窃取到的这些机密信息发送到骇客指定的远程服务器站点上（地址加密存放），致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家造成了不同程度的损失。另外，“窃贼Ld”变种qlg会修改注册表“ShellExecuteHooks”的键值，以此实现木马的开机自动运行。