江民11.26病毒播报：危鬼和暗门变种病毒

核心提示：江民今日提醒您注意：在今天的病毒中Trojan/Vilsel.ale“危鬼”变种ale和Backdoor/Xyligan.cj“暗门”变种cj值得关注，英文名称：Trojan/Vilsel.ale中文名称：“危鬼”变种ale病毒长度：13603字节病毒类型：木马危险级别：★★影响平台：Win 9X/ME/NT/2000

江民今日提醒您注意：在今天的病毒中Trojan/Vilsel.ale“危鬼”变种ale和Backdoor/Xyligan.cj“暗门”变种cj值得关注。

英文名称：Trojan/Vilsel.ale
　　中文名称：“危鬼”变种ale
　　病毒长度：13603字节
　　病毒类型：木马
　　危险级别：★★
　　影响平台：Win 9X/ME/NT/2000/XP/2003
　　md5 校验：192a34c5ccdf7f2c38a5442dc45756e4
　　特征描述：
　　Trojan/Vilsel.ale“危鬼”变种ale是“危鬼”家族中的最新成员之一，经过加壳保护处理。“危鬼”变种ale运行后，会在被感染系统的“%SystemRoot%\system32\”文件夹下释放经过加壳保护的恶意DLL组件“kb1*.dll”，并生成文件“wsconfig.db”保存该DLL文件名。在“%SystemRoot%\system32\drivers\”文件夹下释放配置文件，另外还会篡改系统文件“comres.dll”，从而通过调用被感染的“comres.dll”来实现自动运行。安装完成后，原病毒程序会将自我删除，以此消除痕迹。“危鬼”变种ale是一个专门盗取“地下城与勇士 Online”网络游戏会员账号的木马程序，其会插入到游戏进程“dnfchina.exe”或“dnf.exe”中，并利用消息钩子、内存截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级等信息。在后台将窃得的信息发送到骇客指定的页面“http://wocaonimabb*.xxxxs*.cn/fen/3355/linxx.asp”等上（地址加密存放），致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家造成了不同程度的损失。

英文名称：Backdoor/Xyligan.cj
　　中文名称：“暗门”变种cj
　　病毒长度：36516字节
　　病毒类型：后门
　　危险级别：★★
　　影响平台：Win 9X/ME/NT/2000/XP/2003
　　MD5 校验：641c92113139f02fdc1bdca8a0b4200a
　　特征描述：
　　Backdoor/Xyligan.cj“暗门”变种cj是“暗门”家族中的最新成员之一，经过加壳保护处理。“暗门”变种cj运行后，会自我复制到被感染系统的“%SystemRoot%\system32\”文件夹下，重新命名为“*2.exe”（包含5个随机字母）。不断尝试与控制端（地址为：hkhkddos.332*.org:8000）进行连接，如果连接成功，则被感染的计算机就会沦为傀儡主机。骇客可以向被感染的计算机发送恶意指令，从而执行任意控制操作（包括：文件管理、进程控制、注册表操作、服务管理、远程命令执行，甚至屏幕监控、键盘监听、鼠标控制、音频监控、视频监控等），会给用户的计算机安全构成严重的威胁。另外，“暗门”变种cj会在被感染计算机中注册名为“server this”的系统服务，以此实现开机自启。