06月15日病毒播报：“通犯”变种fuqy和“毒它虫”变种

发布时间：2011-06-21 14:30:26作者：知识屋

在今天的病毒中Trojan/Generic.fuqy“通犯”变种fuqy和Trojan/PSW.Taworm.jq“毒它虫”变种jq值得关注。
英文名称：Trojan/Generic.fuqy
中文名称：“通犯”变种fuqy
病毒长度：34304字节
病毒类型：木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：d77bb699a31841d2dab6c9c2822baeb8
特征描述：
Trojan/Generic.fuqy“通犯”变种fuqy是“通犯”家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写，是一个由其它恶意程序释放的DLL功能组件。“通犯”变种fuqy运行后，会确认恶意DLL组件“dbr25014.ttf”是否已经注入到桌面进程“explorer.exe”中，然后会创建互斥体“gbvQQXY25014_rel_regamle_00000476_”，防止自身重复运行。“通犯”变种fuqy是一个专门盗取网络游戏“QQ西游”会员账号的盗号木马程序，运行后会首先确认自身是否已经插入到游戏进程“qy.exe”、“client.exe”、“_qypatch.bin”中。如果已经插入其中则会利用消息钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息，并在后台将窃得的信息发送到骇客指定的站点（地址加密存放），致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家造成了不同程度的损失。释放“通犯”变种fuqy的母病毒程序会在指定系统DLL中新建一个指向它的区段，这样当该系统DLL随游戏一起运行时，会自动加载“通犯”变种fuqy，从而以此种方式实现了隐秘的自启。该木马的传播途径一般为网页木马，如果用户的计算机系统存在相应的漏洞，则会增加感染该病毒的风险，甚至是多次重复感染。

英文名称：Trojan/PSW.Taworm.jq
中文名称：“毒它虫”变种jq
病毒长度：104455字节
病毒类型：盗号木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：381dc57b7c5114963adbe4e4d72d5d8c
特征描述：
Trojan/PSW.Taworm.jq“毒它虫”变种jq是“毒它虫”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。“毒它虫”变种jq运行后，会自我复制到被感染系统的“%SystemRoot%system32”文件夹下，重新命名为“dyrot.exe”。将恶意代码插入到“explorer.exe”进程中隐秘运行，在后台执行恶意操作，以此隐藏自我，防止被轻易地查杀。还会在被感染系统的后台连接骇客指定的站点“www.money*8.com”，下载恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，致使用户面临更多的威胁。其还会连接骇客指定的网站“www.han*06.com”，访问指定的挂马页面，从而造成了更多的安全隐患。“毒它虫”变种jq是一个专门盗取网络游戏会员账号的木马程序，其会在被感染系统的后台秘密监视系统所运行程序的窗口标题，一旦发现指定程序启动，便会利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息，并在后台将窃得的信息发送到骇客指定的站点上（地址加密存放），致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家造成了不同程度的损失。另外，其会修改注册表启动项中的登陆初始化内容，以此实现自动运行。