江民今日提醒您注意:在今天的病毒中Trojan/Vilsel.ale“危鬼”变种ale和Backdoor/Xyligan.cj“暗门”变种cj值得关注。
英文名称:Trojan/Vilsel.ale
中文名称:“危鬼”变种ale
病毒长度:13603字节
病毒类型:木马
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:192a34c5ccdf7f2c38a5442dc45756e4
特征描述:
Trojan/Vilsel.ale“危鬼”变种ale是“危鬼”家族中的最新成员之一,经过加壳保护处理。“危鬼”变种ale运行后,会在被感染系统的“%SystemRoot%\system32\”文件夹下释放经过加壳保护的恶意DLL组件“kb1*.dll”,并生成文件“wsconfig.db”保存该DLL文件名。在“%SystemRoot%\system32\drivers\”文件夹下释放配置文件,另外还会篡改系统文件“comres.dll”,从而通过调用被感染的“comres.dll”来实现自动运行。安装完成后,原病毒程序会将自我删除,以此消除痕迹。“危鬼”变种ale是一个专门盗取“地下城与勇士 Online”网络游戏会员账号的木马程序,其会插入到游戏进程“dnfchina.exe”或“dnf.exe”中,并利用消息钩子、内存截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级等信息。在后台将窃得的信息发送到骇客指定的页面“http://wocaonimabb*.xxxxs*.cn/fen/3355/linxx.asp”等上(地址加密存放),致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失,给游戏玩家造成了不同程度的损失。
英文名称:Backdoor/Xyligan.cj
中文名称:“暗门”变种cj
病毒长度:36516字节
病毒类型:后门
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:641c92113139f02fdc1bdca8a0b4200a
特征描述:
Backdoor/Xyligan.cj“暗门”变种cj是“暗门”家族中的最新成员之一,经过加壳保护处理。“暗门”变种cj运行后,会自我复制到被感染系统的“%SystemRoot%\system32\”文件夹下,重新命名为“*2.exe”(包含5个随机字母)。不断尝试与控制端(地址为:hkhkddos.332*.org:8000)进行连接,如果连接成功,则被感染的计算机就会沦为傀儡主机。骇客可以向被感染的计算机发送恶意指令,从而执行任意控制操作(包括:文件管理、进程控制、注册表操作、服务管理、远程命令执行,甚至屏幕监控、键盘监听、鼠标控制、音频监控、视频监控等),会给用户的计算机安全构成严重的威胁。另外,“暗门”变种cj会在被感染计算机中注册名为“server this”的系统服务,以此实现开机自启。