江民8.1发现网游窃贼和毒波变种病毒

      在今天的病毒中Trojan/PSW.OnLineGames.ayvt“网游窃贼”变种ayvt和Backdoor/NetBot.fz“毒波”变种fz值得关注。

　　英文名称：Trojan/PSW.OnLineGames.ayvt
　　中文名称：“网游窃贼”变种ayvt
　　病毒长度：11776字节
　　病毒类型：盗号木马
　　危险级别：★
　　影响平台：Win 9X/ME/NT/2000/XP/2003
　　MD5 校验：3c8c5b89b3dfd2d44172b0a98845a1e2
　　特征描述：
　　Trojan/PSW.OnLineGames.ayvt“网游窃贼”变种ayvt是“网游窃贼”盗号木马家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写，并且经过加壳保护处理。“网游窃贼”变种ayvt运行后，会在被感染计算机系统的“%SystemRoot%\system32\”目录下释放保存有收信地址等信息的配置文件“jkanqm1.nls”，同时将系统文件“comres.dll”重新命名为“comresdk.dll”，然后释放经过加壳保护处理的恶意DLL组件“comres.dll”。释放完毕后，其会将自身删除，以此消除痕迹。“网游窃贼”变种ayvt是一个专门盗取“QQ自由幻想”网络游戏会员账号的木马程序，运行后会首先关闭“qqffo.exe”以及指定安全软件的进程，并且利用“QQ自由幻想”的重新运行加载仿冒的系统文件“comres.dll”。该文件运行后会首先确认自身是否已经被插入到系统桌面进程“explorer.exe”和游戏进程“qqffo.exe”中，如果已经插入其中便会利用消息钩子等方法来盗取网络游戏玩家的账号、密码等信息，并在后台将窃得的信息发送到骇客指定的远程服务器站点“http://qqfo.hzm*wy.net/07/request.asp”上（地址加密存放），致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家造成了不同程度的损失。

　　英文名称：Backdoor/NetBot.fz
　　中文名称：“毒波”变种fz
　　病毒长度：89600字节
　　病毒类型：后门
　　危险级别：★★
　　影响平台：Win 9X/ME/NT/2000/XP/2003
　　MD5 校验：e661ffe5427ab35b1b0129f6c6cd1705
　　特征描述：
　　Backdoor/NetBot.fz“毒波”变种fz是“毒波”后门家族中的最新成员之一，采用“Borland Delphi 6.0 - 7.0”编写。“毒波”变种fz运行后，会在被感染系统的“%SystemRoot%\system32\”目录下释放仿冒的系统文件“qmgr.dll”，并将文件属性设置为“系统、隐藏、只读”，同时还会修改文件的时间属性，增强了自身的隐蔽性。该文件运行后，会不断尝试与控制端（IP地址为：61.191.*.115:8088）进行连接。一旦连接成功，则被感染的计算机就会沦为骇客的傀儡主机。骇客可以向被感染的计算机发送恶意指令，从而执行任意控制操作（控制操作包括但不限于：文件管理、进程控制、注册表操作、远程命令执行、屏幕监控、键盘监听、视频监控等），会给用户的个人隐私甚至是商业机密造成不同程度的损失。同时，骇客还可以向傀儡主机发送大量的恶意程序，从而对用户的信息安全构成更加严重的威胁。另外，“毒波”变种fz会修改系统服务“BITS”（后台智能传输服务）所指向的文件，以此实现开机自启。