中文名稱(chēng):"網(wǎng)游竊賊"變種axxy
病毒長(zhǎng)度:23948字節(jié)
病毒類(lèi)型:盜號(hào)木馬
危險(xiǎn)級(jí)別:★
影響平臺(tái):Win 9X/ME/NT/2000/XP/2003
MD5 校驗(yàn):f5764f37686733b7a45204dad906d762
特征描述:
Trojan/PSW.OnLineGames.axxy"網(wǎng)游竊賊"變種axxy是"網(wǎng)游竊賊"家族中的最新成員之一�,采用"Microsoft Visual C++ 6.0"編寫(xiě),經(jīng)過(guò)加殼保護(hù)處理���。"網(wǎng)游竊賊"變種axxy運(yùn)行后,會(huì)在被感染系統(tǒng)的"%USERPROFILE%Local SettingsTemp"和"%SystemRoot%system32"文件夾下分別釋放惡意DLL組件"~~*.~~~"(*號(hào)表示隨機(jī)名稱(chēng))��、"t329111.dll"�,還會(huì)在該文件夾下創(chuàng)建配置文件"t329111.ini"。"網(wǎng)游竊賊"變種axxy是一個(gè)專(zhuān)門(mén)盜取"魔獸世界"網(wǎng)絡(luò)游戲賬號(hào)的木馬程序�����,其會(huì)在后臺(tái)秘密監(jiān)視系統(tǒng)中正在運(yùn)行的所有進(jìn)程��。如果發(fā)現(xiàn)游戲進(jìn)程"wow.exe"存在��,則會(huì)利用安裝消息鉤子��、內(nèi)存截取���、偽裝游戲登陸窗口等方式竊取網(wǎng)絡(luò)游戲玩家的游戲賬號(hào)、游戲密碼�����、所在區(qū)服�、角色等級(jí)、金錢(qián)數(shù)量、倉(cāng)庫(kù)密碼等信息���,并在后臺(tái)將竊得的信息發(fā)送到駭客指定的URL"http://zhu.11mi**2.cn/post.asp?game=29¶=%s&%ves=111&d10=%s&d11=%s&d00=%s&d01=%s&d20=%s:%s%%20%s:%s%%20%s:%s&d70=%d&d90=%d����、http://zhu.11mi**2.cn/mibao.asp?game=29¶=%s&%ves=111&d00=%s&d01=%s&d10=%s&d11=%s&d21=%s&d30=%s&d31=%s&d32=%s&d40=%u&d45=%u&d42=%u&d60=%s&d61=%s&d70=%d&d71=%d&d50=%s&d90=%d&d62=%s"上(地址加密存放)�����,致使游戲玩家的賬號(hào)�、裝備、物品����、金錢(qián)等丟失,給玩家造成了不同程度的損失��。"網(wǎng)游竊賊"變種axxy具有自動(dòng)更新的功能��,其會(huì)在被感染系統(tǒng)的后臺(tái)連接駭客指定的URL"http://zhu.11mi**2.cn/ufile.asp%s?act=&d10=%s&d80=%d"下載并安裝更新���。另外���,其會(huì)通過(guò)在被感染系統(tǒng)注冊(cè)表啟動(dòng)項(xiàng)中添加鍵值的方式實(shí)現(xiàn)開(kāi)機(jī)自啟。"網(wǎng)游竊賊"變種axxy在安裝完畢后會(huì)將自身刪除,以此消除痕跡���。
英文名稱(chēng):Trojan/BHO.itl
中文名稱(chēng):"BHO劫持者"變種itl
病毒長(zhǎng)度:249856字節(jié)
病毒類(lèi)型:木馬
危險(xiǎn)級(jí)別:★
影響平臺(tái):Win 9X/ME/NT/2000/XP/2003
MD5 校驗(yàn):fc4303b070651407d7b0e74c013ea830
特征描述:
Trojan/BHO.itl"BHO劫持者"變種itl是"BHO劫持者"家族中的最新成員之一��,采用高級(jí)語(yǔ)言編寫(xiě)�����,是一個(gè)由其它惡意程序釋放出來(lái)的DLL功能組件���。"BHO劫持者"變種itl會(huì)在被感染系統(tǒng)的后臺(tái)獲取用戶(hù)計(jì)算機(jī)的配置信息,并且會(huì)通過(guò)查詢(xún)注冊(cè)表指定鍵值(例如SoftwareFlashFXP��、SoftwareLeapWare���、SoftwareFileZilla、SoftwareGlobalSCAPE等)的方式判斷系統(tǒng)中是否已安裝了FTP管理軟件�。"BHO劫持者"變種itl會(huì)在被感染系統(tǒng)的后臺(tái)注冊(cè)廣告窗口類(lèi)"Shell DocObject View",在滿(mǎn)足指定的條件時(shí)會(huì)彈出廣告窗口���,從而干擾了用戶(hù)���。"BHO劫持者"變種itl會(huì)被注冊(cè)為BHO(瀏覽器輔助對(duì)象),以此實(shí)現(xiàn)隨瀏覽器的啟動(dòng)而加載運(yùn)行的目的。"BHO劫持者"變種itl的文件描述信息會(huì)被設(shè)置成"迅雷瀏覽器高級(jí)特性支持模塊"�����,同時(shí)帶有無(wú)效的數(shù)字簽名�����,以此增加了自身的迷惑性��。
