伪颗粒窃取网游密码 机灵鬼侦听骇客指令
在今天的病毒中Trojan/Vaklik.ap“伪颗粒”变种ap和Packed.NSAnti.ca“机灵鬼”变种ca值得关注。
英文名称:Trojan/Vaklik.ap
中文名称:“伪颗粒”变种ap
病毒长度:136192位元组
病毒类型:木马
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:6efce71f24c89deacb7a4a15f025f0b9
特征描述:
Trojan/Vaklik.ap“伪颗粒”变种ap是“伪颗粒”木马家族中的最新成员之一,采用高阶语言编写,并且经过加壳保护处理。“伪颗粒”变 种ap运行后,会在被感染电脑系统的“%SystemRoot%”、“%SystemRoot%\system32\drivers\”、 “%SystemRoot%\system32\”目录下分别释放出恶意档“1.exe”、“klif.sys”和“kavo.exe”,并设置这些文 件的属性为“系统、唯读、隐藏”。尝试结束部分安全软体的进程,并通过滑鼠类比点击的方式尝试绕过某些安全软体的主动防御监视。同时,“伪颗粒”变种ap 还会通过恶意驱动程式“klif.sys”来实现隐藏其释放的病毒档和相关注册表项,提高了木马自身的生存几率。“伪颗粒”变种ap是一个专门盗取“十 二之天”、“钜贾Online”、“冒险岛Online”、“魔力宝贝”、“仙境传说”等网路游戏会员帐号的木马程式。运行后会在被感染电脑的后台秘密 监视用户系统中正在运行的所有进程,如果发现指定网路游戏的进程存在,则会通过安装消息钩子、记忆体截取等技术盗取网路游戏玩家的游戏帐号、游戏密码、所在 区服、角色等级、金钱数量、仓库密码等资讯,并在后台将窃取到的资讯发送到骇客指定的远端伺服器站点上(位址加密存放),致使网路游戏玩家的游戏帐号、装 备、物品、金钱等丢失,给游戏玩家造成了不同程度的损失。另外,“伪颗粒”变种ap可能会利用U盘等移动存储设备进行传播,并会通过在注册表启动项中添加 名为“kava”的键值来实现开机自启。
英文名称:Packed.NSAnti.ca
中文名称:“机灵鬼”变种ca
病毒长度:290527位元组
病毒类型:木马
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:c2776bbd6df4acb035c09a1b1ae58553
特征描述:
Packed.NSAnti.ca“机灵鬼”变种ca是“机灵鬼”木马家族中的最新成员之一,采用“Borland Delphi 6.0 -7.0”编写,经过加壳保护处理。“机灵鬼”变种ca运行后,会自我复制到被感染电脑系统的“%SystemRoot%\”目录下,重新命名为 “host.exe”,并设置档属性为“系统、唯读、隐藏”。将自身进程隐蔽运行,从而降低了被发现的几率。“机灵鬼”变种ca会在被感染电脑后台不 断尝试与“
http://kiss...obe***.cn/ip.txt” 中指定的IP位址进行连接,一旦连接成功,则被感染的电脑就会沦为骇客的傀儡主机。骇客可以向被感染电脑发送任意指令、执行任意操作,其中包括档管 理、进程控制、注册表操作、远端命令执行、萤幕监控、键盘监听、视频监控等,会给用户的个人隐私甚至是商业机密造成不同程度的侵害。骇客还可以向傀儡主机 发送大量的恶意程式,致使被感染电脑用户面临更多的威胁。同时,“机灵鬼”变种ca可能会弹出仿冒某安全软体安装成功的提示视窗以迷惑用户,其主程序在 执行完毕后会将自我删除,从而达到消除痕迹的目的。另外,“机灵鬼”变种ca会将自身注册成系统服务(名称为“host”、描述为“系统档”),以此实 现木马开机自动运行。
