江民6.23病毒播报：冒牌贼和碍路砖变种

江民今日提醒您注意：在今天的病毒中Trojan/Montp.e“冒牌贼”变种e和Trojan/Alupko.c“碍路砖”变种c值得关注。

英文名称：Trojan/Montp.e
　　中文名称：“冒牌贼”变种e
　　病毒长度：945464字节
　　病毒类型：木马
　　危险级别：★
　　影响平台：Win 9X/ME/NT/2000/XP/2003
　　md5 校验：a93362a168fc0f2c77aabdb60b0268c0
　　特征描述：
　　Trojan/Montp.e“冒牌贼”变种e是“冒牌贼”木马家族中的最新成员之一，采用高级语言编写，并且经过加壳保护处理。“冒牌贼”变种e运行后，会在被感染计算机系统的“C:\PRogram Files\WAIGUA\”目录下释放程序“地下城与勇士.EXE”和“dxwg.exe”。其中“地下城与勇士.EXE”是一个没有实际功能的假外挂，而“dxwg.exe”是一个专门窃取“地下城与勇士”网络游戏账号与密码的木马程序。该木马会在被感染系统的“%USERPROFILE%\Local Settings\Temp\”目录下释放恶意DLL组件“SysDir.dat”，文件属性设置为“系统、隐藏”。在“地下城与勇士”游戏目录下释放冒充系统正常组件“LPK.DLL”的恶意文件，同时复制系统组件“LPK.DLL”到该目录下并且重新命名为“DnfText.dll”。“冒牌贼”变种e在安装完毕后便会将自身移动到“%USERPROFILE%\Local Settings\Temp\”目录下，重新命名为“DNFupdate.exe”，从而避免被用户轻易地发现。网络游戏“地下城与勇士”启动后，会自动加载木马组件。木马组件运行后会首先确认自身是否已经被插入到系统桌面进程“explorer.exe”和游戏进程“DNF.exe”中。如果已经插入成功，便会通过安装钩子、内存截取的方式来盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息，并在后台将窃得的信息发送到骇客指定的远程服务器站点“http://www.dnf1*9.com/OK/”（地址加密存放）上，致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家造成了不同程度的损失。

英文名称：Trojan/Alupko.c
　　中文名称：“碍路砖”变种c
　　病毒长度：18432字节
　　病毒类型：木马
　　危险级别：★
　　影响平台：Win 9X/ME/NT/2000/XP/2003
　　MD5 校验：f3fb95dce4047c189be0f6b8b180f4d2
　　特征描述：
　　Trojan/Alupko.c“碍路砖”变种c是“碍路砖”木马家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写，并且经过加壳保护处理。“碍路砖”变种c运行后，会自我复制到被感染系统的“%USERPROFILE%”、“%SystemRoot%\system32\drivers\”、“%USERPROFILE%\「开始」菜单\程序\启动\”目录下，并分别重新命名为“svchost.exe”、“services.exe”、“userinit.exe”。“碍路砖”变种c运行时，会强行删除注册表中所有的启动项和浏览器辅助对象。在被感染系统的后台连接骇客指定的远程服务器站点“http://be*best.cn/”，下载恶意程序“load.exe”等并自动调用运行，致使用户面临更多的威胁。其还会连接“http://stopg*m.cn/”并与该站点交换一些数据，由此可能会泄露用户的一些敏感信息。另外，“碍路砖”变种c会通过在系统注册表启动项中添加键值“[system]”、“winlogon”、“UserInit”等方式来实现木马的开机自动运行。