江民今日提醒您注意:在今天的病毒中Trojan/PSW.Element.e“毒素”变种e和Trojan/PSW.Agent.gqy“代理木马”变种gqy值得关注。
英文名称:Trojan/PSW.Element.e
中文名称:“毒素”变种e
病毒长度:18432字节
病毒类型:木马
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.Element.e“毒素”变种e是“毒素”木马家族中的最新成员之一,采用高级语言编写,未经过添加保护壳处理。“毒素”变种e是由其它恶意程序释放出来的DLL功能组件,通过插入到“explorer.exe”和“csrss.exe”进程中加载运行。运行后,会在被感染计算机的后台秘密监视用户系统中所运行着的进程,如果发现“魔域”网络游戏的进程存在时,则会通过内存截取或键盘监视等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息,并在后台将窃取到的玩家机密信息发送到骇客指定的远程服务器站点上,致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失,给游戏玩家带来不同程度的损失。同时,该病毒还会在被感染计算机的系统目录中释放一个配置文件,并且删除其它病毒所创建的一些文件。另外,“毒素”变种e由设置在注册表中的启动项实现开机加载运行。
英文名称:Trojan/PSW.Agent.gqy
中文名称:“代理木马”变种gqy
病毒长度:29184字节
病毒类型:木马
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.Agent.gqy“代理木马”变种gqy是“代理木马”木马家族中的最新成员之一,采用Delphi语言编写,是一个由其它恶意程序释放出来的DLL功能组件。“代理木马”变种gqy是一个专门盗取“R2”网络游戏会员账号的木马程序,通过插入“explorer.exe”等几乎所有用户级权限的进程中加载运行。如果该组件所插入的进程为“r2client.exe”(R2网游客户端),则利用消息钩子和内存截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级等信息,并在后台将窃取到的玩家机密信息发送到骇客指定的远程服务器站点“http://www.70***50.cn/go/”(地址加密存放)中,致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失,给游戏玩家造成不同程度的损失。另外,“代理木马”变种gqy还具有删除指定系统文件“%SystemRoot%\system32\verclsid.exe”和下载病毒配置文件等行为,破坏了计算机系统的完整性,干扰了系统的正常运行。
