江民今日提醒您注意:在今天的病毒中Trojan/Gamania.t“佳美尼亚”变种t和Trojan/QQPass.ckq“QQ大盗”变种ckq值得关注。
英文名称:Trojan/Gamania.t
中文名称:“佳美尼亚”变种t
病毒长度:80816字节
病毒类型:木马
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:6c3b4150d8f4d2228dd78425b4b16070
特征描述:
Trojan/Gamania.t“佳美尼亚”变种t是“佳美尼亚”木马家族中的最新成员之一,采用“Borland Delphi 6.0 - 7.0”编写,并且经过加壳保护处理。“佳美尼亚”变种t运行后,会在被感染计算机系统的临时文件夹下释放经过加壳保护的恶意程序“wmnet.exe”、恶意驱动程序“98989898”和恶意DLL组件“d8bbb4.dll”,这些文件在运行完成后都会将自我删除,以此消除痕迹。“佳美尼亚”变种t运行时,会关闭系统的“安全中心”、“Windows防火墙”和“系统还原”服务。在被感染系统的后台遍历当前系统中所有正在运行的进程,一旦发现指定的安全软件存在便会尝试将其结束。修改系统时间以及注册表相关键值,以此结束某些安全软件的监控功能,还会通过最小化系统音量的方式并使得用户不能听到系统的警告音。还会利用文件映像劫持功能干扰大量安全软件的正常启动运行,从而达到了自我保护的目的。在被感染系统的后台连接骇客指定的远程服务器站点“http://txt.bm*740.com/”,获取恶意程序下载列表,下载其中指定的恶意程序并自动调用运行。其中,所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,致使用户面临更多的威胁。同时,“佳美尼亚”变种t还可能会根据骇客的设置,修改“%SystemRoot%\system32\drivers\etc\hosts”文件,从而通过域名劫持的方式使得用户无法访问某些安全类站点以及无法进行安全软件的升级操作,从而进一步地提高了自身的生存几率。
英文名称:Trojan/QQPass.ckq
中文名称:“QQ大盗”变种ckq
病毒长度:77334字节
病毒类型:木马
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:fbf5a305f2e33ef48371a2f84f835229
特征描述:
Trojan/QQPass.ckq“QQ大盗”变种ckq是“QQ大盗”木马家族中的最新成员之一,采用“Borland Delphi 6.0 - 7.0”编写,并且经过加壳保护处理。“QQ大盗”变种ckq运行后,会在被感染系统的“%SystemRoot%\system32\”目录下释放恶意DLL组件“qqmm.vxd”,另外还会删除“%SystemRoot%\system32\”目录下的系统文件“VerCLSID.exe”以及“QQ”安装目录下的“QQDoctor.exe”。“QQ大盗”变种ckq是一个专门盗取即时聊天工具“腾讯QQ”账号和密码的木马程序,运行后会首先查看自身是否已经被插入到“QQ.exe”或“explorer.exe”等进程之中。一旦插入成功,便会查找系统中可能存在的“QQ用户登录”窗口(也可能通过迫使用户掉线的方式强制“QQ”返回到登录窗口)。“QQ大盗”变种ckq会针对“QQ用户登录”窗口安装大量的消息钩子,同时会在真正的密码框之上放置一个高度仿真的密码输入框,使得用户在该仿冒的密码框中输入密码时不受“QQ”反窃密功能的保护,从而轻易地获取用户输入的账号和密码信息。“QQ大盗”变种ckq会在后台将窃取到的信息(包括计算机名、当前IP地址、计算机用户名、QQ账号、QQ密码等)发送到骇客指定的远程服务器站点(地址加密存放),给用户造成了不同程度的虚拟财产损失。另外,“QQ大盗”变种ckq会通过修改注册表键“ShellExecuteHooks”的方式实现木马的开机自启。另外,“QQ大盗”变种ckq在安装完成后会将自我删除,以此消除痕迹。
