偽顆粒竊取網遊密碼 機靈鬼偵聽駭客指令
在今天的病毒中Trojan/Vaklik.ap“偽顆粒”變種ap和Packed.NSAnti.ca“機靈鬼”變種ca值得關注。
英文名稱:Trojan/Vaklik.ap
中文名稱:“偽顆粒”變種ap
病毒長度:136192位元組
病毒類型:木馬
危險級別:★★
影響平臺:Win 9X/ME/NT/2000/XP/2003
MD5 校驗:6efce71f24c89deacb7a4a15f025f0b9
特徵描述:
Trojan/Vaklik.ap“偽顆粒”變種ap是“偽顆粒”木馬家族中的最新成員之一,採用高階語言編寫,並且經過加殼保護處理。“偽顆粒”變 種ap運行後,會在被感染電腦系統的“%SystemRoot%”、“%SystemRoot%\system32\drivers\”、 “%SystemRoot%\system32\”目錄下分別釋放出惡意檔“1.exe”、“klif.sys”和“kavo.exe”,並設置這些文 件的屬性為“系統、唯讀、隱藏”。嘗試結束部分安全軟體的進程,並通過滑鼠類比點擊的方式嘗試繞過某些安全軟體的主動防禦監視。同時,“偽顆粒”變種ap 還會通過惡意驅動程式“klif.sys”來實現隱藏其釋放的病毒檔和相關註冊表項,提高了木馬自身的生存幾率。“偽顆粒”變種ap是一個專門盜取“十 二之天”、“鉅賈Online”、“冒險島Online”、“魔力寶貝”、“仙境傳說”等網路遊戲會員帳號的木馬程式。運行後會在被感染電腦的後臺秘密 監視用戶系統中正在運行的所有進程,如果發現指定網路遊戲的進程存在,則會通過安裝消息鉤子、記憶體截取等技術盜取網路遊戲玩家的遊戲帳號、遊戲密碼、所在 區服、角色等級、金錢數量、倉庫密碼等資訊,並在後臺將竊取到的資訊發送到駭客指定的遠端伺服器站點上(位址加密存放),致使網路遊戲玩家的遊戲帳號、裝 備、物品、金錢等丟失,給遊戲玩家造成了不同程度的損失。另外,“偽顆粒”變種ap可能會利用U盤等移動存儲設備進行傳播,並會通過在註冊表啟動項中添加 名為“kava”的鍵值來實現開機自啟。
英文名稱:Packed.NSAnti.ca
中文名稱:“機靈鬼”變種ca
病毒長度:290527位元組
病毒類型:木馬
危險級別:★★
影響平臺:Win 9X/ME/NT/2000/XP/2003
MD5 校驗:c2776bbd6df4acb035c09a1b1ae58553
特徵描述:
Packed.NSAnti.ca“機靈鬼”變種ca是“機靈鬼”木馬家族中的最新成員之一,採用“Borland Delphi 6.0 -7.0”編寫,經過加殼保護處理。“機靈鬼”變種ca運行後,會自我複製到被感染電腦系統的“%SystemRoot%\”目錄下,重新命名為 “host.exe”,並設置檔屬性為“系統、唯讀、隱藏”。將自身進程隱蔽運行,從而降低了被發現的幾率。“機靈鬼”變種ca會在被感染電腦後臺不 斷嘗試與“
http://kiss...obe***.cn/ip.txt” 中指定的IP位址進行連接,一旦連接成功,則被感染的電腦就會淪為駭客的傀儡主機。駭客可以向被感染電腦發送任意指令、執行任意操作,其中包括檔管 理、進程控制、註冊表操作、遠端命令執行、螢幕監控、鍵盤監聽、視頻監控等,會給用戶的個人隱私甚至是商業機密造成不同程度的侵害。駭客還可以向傀儡主機 發送大量的惡意程式,致使被感染電腦用戶面臨更多的威脅。同時,“機靈鬼”變種ca可能會彈出仿冒某安全軟體安裝成功的提示視窗以迷惑用戶,其主程序在 執行完畢後會將自我刪除,從而達到消除痕跡的目的。另外,“機靈鬼”變種ca會將自身註冊成系統服務(名稱為“host”、描述為“系統檔”),以此實 現木馬開機自動運行。
