江民6.11病毒播报：魔兽贼和狂客变种病毒

核心提示：江民今日提醒您注意：在今天的病毒中Trojan/PSW.WOW.aak“魔兽贼”变种aak和Trojan/Ranky.c“狂客”变种c值得关注，英文名称：Trojan/PSW.WOW.aak中文名称：“魔兽贼”变种aak病毒长度：27048字节病毒类型：盗号木马危险级别：★影响平台：Win 9X/ME/NT/2000/

江民今日提醒您注意：在今天的病毒中Trojan/PSW.WOW.aak“魔兽贼”变种aak和Trojan/Ranky.c“狂客”变种c值得关注。

英文名称：Trojan/PSW.WOW.aak
　　中文名称：“魔兽贼”变种aak
　　病毒长度：27048字节
　　病毒类型：盗号木马
　　危险级别：★
　　影响平台：Win 9X/ME/NT/2000/XP/2003
　　md5 校验：0bd4bab53f55d6151868d34e851221cd
　　特征描述：
　　Trojan/PSW.WOW.aak“魔兽贼”变种aak是“魔兽贼”盗号木马家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写，是一个由其它恶意程序释放出来的DLL功能组件。“魔兽贼”变种aak是一个专门盗取“魔兽世界”网络游戏会员账号的木马程序，运行后会首先确认自身是否已经被插入到系统桌面进程“explorer.exe”中。一旦插入成功，便会通过安装钩子的方式使得木马可以获知用户当前的操作状态。其还会被插入到指定游戏进程“wow.exe”中，同时利用消息钩子或内存截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息，并在后台将窃取到的这些机密信息发送到骇客指定的远程服务器站点“http://121.12.*.17/moshouzong”上（地址加密存放），致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家造成了不同程度的损失。“魔兽贼”变种aak还会在被感染系统的后台秘密监视所有正在运行程序的窗口标题，一旦发现指定标题的窗口，便会尝试将其结束，从而达到了自我保护的目的，避免了自身被一些木马查杀或者网络监视类工具所发现。另外，“魔兽贼”变种aak通常会以系统服务或者在游戏安装目录下生成仿冒的系统文件的方式实现木马的自动运行。

英文名称：Trojan/Ranky.c
　　中文名称：“狂客”变种c
　　病毒长度：22113字节
　　病毒类型：木马
　　危险级别：★
　　影响平台：Win 9X/ME/NT/2000/XP/2003
　　MD5 校验：1d213d115cba05fdd0dbac6bc6f0c2f4
　　特征描述：
　　Trojan/Ranky.c“狂客”变种c是“狂客”木马家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写，并且经过加壳保护处理。“狂客”变种c运行后，会自我复制到被感染计算机系统的“%SystemRoot%\system\”目录下，重新命名为“lsass.exe”。强行篡改注册表，致使系统文件保护功能失效。删除所有的注册表启动项，使得一些重要程序无法随开机自启。同时，还会将自身添加到“Windows防火墙”白名单中，以使通信不被防火墙所拦截。“狂客”变种c运行时，可能会在被感染系统上开放端口并建立后门，之后连接骇客指定的远程服务器站点“http://a.ha*x.biz”，监听黑客指令，以进行用户机密信息的窃取，从而给用户造成了不同程度的侵害。另外，“狂客”变种c会通过在系统注册表启动项中添加键值“Microsoft (R) Windows Network Security Service”、修改“Userinit”键值以及将自身注册成名为“lsass”的服务的方式实现木马的开机自启。