06月14日病毒播报：“密匪”变种zj和“苍蝇贼”变种

发布时间：2011-06-21 14:29:57作者：知识屋

在今天的病毒中Trojan/PSW.Frethoq.zj“密匪”变种zj和TrojanDownloader.FlyStudio.bwm“苍蝇贼”变种bwm值得关注。
英文名称：Trojan/PSW.Frethoq.zj
中文名称：“密匪”变种zj
病毒长度：41424字节
病毒类型：盗号木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：c0095699197cc3d8a3a7d98c7e6e7676
特征描述：
Trojan/PSW.Frethoq.zj“密匪”变种zj是“密匪”家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写，是一个由其它恶意程序释放的DLL功能组件。“密匪”变种zj运行后，会判断自身路径和文件名是否为“%SystemRoot%system32ksuser.dll”，然后会判断自身是否已经插入到“%USERPROFILE%Local SettingsTempsgdata.dat”中。调用“sfc_os.dll”中的5号函数，把系统DLL“%SystemRoot%system32imm32.dll”复制为“%USERPROFILE%Local SettingsTemptmpD.tmp”，并向其中添加恶意代码。将“imm32.dll”移动到“%USERPROFILE%Local SettingsTemp”文件夹下重新命名为“tmpE.tmp”，然后会将“tmpD.tmp”复制为“%SystemRoot%system32imm32.dll”，以此完成对系统文件的替换。后台遍历当前系统正在运行的所有进程，如果发现某些指定的安全软件存在，“密匪”变种zj便会尝试将其强行关闭，从而达到自我保护的目的。“密匪”变种zj是一个专门盗取网络游戏“QQ三国”会员账号的盗号木马程序，其会在被感染系统的后台秘密监视系统中运行的所有应用程序的窗口标题，一旦发现指定程序启动，便会利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息，并在后台将窃得的信息发送到骇客指定的站点（地址加密存放），致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家造成了不同程度的损失。

英文名称：TrojanDownloader.FlyStudio.bwm
中文名称：“苍蝇贼”变种bwm
病毒长度：1215939字节
病毒类型：木马下载器
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：074867807cd5cbe0552a2e8c8c875ee8
特征描述：
TrojanDownloader.FlyStudio.bwm“苍蝇贼”变种bwm是“苍蝇贼”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。“苍蝇贼”变种bwm运行后，会在被感染系统的“%USERPROFILE%Local SettingsTempE_N4”文件夹下释放由易语言编写的恶意DLL组件“dp1.fne ”、“krnln.fnr”、“HtmlView.fne”、“internet.fne”、“eAPI.fne”等，并复制到名为“%SystemRoot%system324E11B”的文件夹下。自我复制到“%SystemRoot%system32531F5E”文件夹下，并且重新命名为“239206.EXE”。同时创建2个空文件夹“32A252”和“DF5625”，用于记录指定数据。“苍蝇贼”变种bwm运行时，会在被感染系统的后台连接骇客指定的站点，获取恶意程序下载列表，下载指定的恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，致使用户面临更多的威胁。“苍蝇贼”变种bwm可通过U盘进行传播。另外，其会在被感染系统注册表启动项中添加新键、在“开始”文件夹中创建快捷方式“32A308.lnk”，以此实现开机自动运行。

（免责声明：文章内容如涉及作品内容、版权和其它问题，请及时与我们联系，我们将在第一时间删除内容，文章内容仅供参考）