特征描述：
Trojan/PSW.Magania.aarw"瑪格尼亞"變種aarw是"瑪格尼亞"家族中的最新成員之一，采用"Microsoft Visual C++ 6.0"編寫，是一個由其它惡意程序釋放出來的DLL功能組件，經(jīng)過加殼保護處理。"瑪格尼亞"變種aarw運行后，會在被感染系統(tǒng)的"%SystemRoot%Downloaded Program Files"文件夾下讀取保存著加密收信地址的配置文件"hyxqXj4ENYN8PTavg.Ttf"。遍歷當(dāng)前系統(tǒng)中所有正在運行的進程，一旦發(fā)現(xiàn)指定的安全軟件存在便會嘗試將其結(jié)束，從而達到自我保護的目的。"瑪格尼亞"變種aarw是一個專門盜取"問道"、"魔獸世界"等網(wǎng)絡(luò)游戲會員賬號的木馬程序，運行后會首先確認(rèn)自身是否已經(jīng)插入到桌面進程"explorer.exe"中。通過安裝消息鉤子等，監(jiān)視當(dāng)前的系統(tǒng)狀態(tài)，伺機進行惡意操作。插入游戲進程"asktao.mod"、"wow.exe"等，利用消息鉤子、內(nèi)存截取等技術(shù)盜取網(wǎng)絡(luò)游戲玩家的游戲賬號、游戲密碼、所在區(qū)服、角色等級等信息，并在后臺將竊得的信息發(fā)送到駭客指定的收信頁面"http://203.yx2009123*.cn:37898/203/lm310y@tq!8t3fr$/w$3qt!g@ro4.asp"等上（地址加密存放），致使網(wǎng)絡(luò)游戲玩家的游戲賬號、裝備、物品、金錢等丟失，給游戲玩家造成了不同程度的損失。另外，"瑪格尼亞"變種aarw會修改注冊表鍵"ShellExecuteHooks"的鍵值，以此實現(xiàn)開機自動運行。

英文名稱：Trojan/AntiDebug.it
中文名稱："反殺鬼"變種it
病毒長度：87752字節(jié)
病毒類型：木馬
危險級別：★★
影響平臺：Win 9X/ME/NT/2000/XP/2003
MD5 校驗：84582536e15ff0958a922bedb90ae048

特征描述：
Trojan/AntiDebug.it"反殺鬼"變種it是"反殺鬼"家族中的最新成員之一，經(jīng)過加殼保護處理。"反殺鬼"變種it運行后，會在被感染系統(tǒng)的"%SystemRoot%system32"文件夾下釋放經(jīng)過加殼保護的惡意DLL組件"R*m*t*C.dll"并調(diào)用運行，之后原程序會將自我刪除，以此消除痕跡。"反殺鬼"變種it釋放的惡意dll文件會通過"svchost.exe -k krnlsrvc"的方式調(diào)用運行，運行后不斷嘗試與控制端（地址為：xijunq.332*.org:8000）進行連接。一旦連接成功，則被感染的計算機就會淪為傀儡主機。駭客可以向被感染的計算機發(fā)送惡意指令，從而執(zhí)行任意控制操作（其中包括文件管理、進程控制、注冊表操作、服務(wù)管理、遠(yuǎn)程命令執(zhí)行、屏幕監(jiān)控、鍵盤監(jiān)聽、鼠標(biāo)控制、音頻監(jiān)控、視頻監(jiān)控等），給用戶的信息安全構(gòu)成了嚴(yán)重的威脅。另外，"反殺鬼"變種it會注冊名為"Mdfaecca"的系統(tǒng)服務(wù)，以此實現(xiàn)開機自啟。

kuangmin