江民11.5播報:瑪格尼亞和暗門變種要關(guān)注
江民今日提醒您注意:在今天的病毒中Trojan/PSW.Magania.xgc“瑪格尼亞”變種xgc和Backdoor/Xyligan.p“暗門”變種p值得關(guān)注。
英文名稱:Trojan/PSW.Magania.xgc
中文名稱:“瑪格尼亞”變種xgc
病毒長度:108018字節(jié)
病毒類型:盜號木馬
危險級別:★★
影響平臺:Win 9X/ME/NT/2000/XP/2003
MD5 校驗:2c61669939c391379a8c1532fe556847
特征描述:
Trojan/PSW.Magania.xgc“瑪格尼亞”變種xgc是“瑪格尼亞”盜號木馬家族中的最新成員之一,采用高級語言編寫,并且經(jīng)過加殼保護(hù)處理。“瑪格尼亞”變種xgc運(yùn)行后,會自我復(fù)制到被感染計算機(jī)系統(tǒng)的臨時文件夾下,重新命名為“olhrwef.exe”。在相同目錄下釋放加殼保護(hù)的惡意DLL組件“nmdfgds*.dll”,文件屬性設(shè)置為“系統(tǒng)、隱藏、只讀”。另外,還可能在“%SystemRoot%\system32\drivers\”目錄下釋放惡意驅(qū)動程序“cdaudio.sys”,以此覆蓋系統(tǒng)同名文件。通過該驅(qū)動提供的服務(wù),其可以結(jié)束某些安全軟件的自我保護(hù),進(jìn)而關(guān)閉其進(jìn)程。也可以通過向指定的窗口對象發(fā)送特定消息的方式結(jié)束某些進(jìn)程,以此達(dá)到自我保護(hù)的目的。“瑪格尼亞”變種xgc是一個盜取“驚天動地 Online”、“最終幻想XI Online”、“冒險島”、“魔獸世界”等網(wǎng)絡(luò)游戲會員賬號的木馬程序,其會將惡意代碼注入到“explorer.exe”中隱秘運(yùn)行。安裝消息鉤子,監(jiān)視用戶當(dāng)前的系統(tǒng)狀況。插入指定的游戲進(jìn)程中,利用鼠標(biāo)鍵盤鉤子、內(nèi)存截取等技術(shù)盜取網(wǎng)絡(luò)游戲玩家的游戲賬號、游戲密碼、所在區(qū)服、角色等級、金錢數(shù)量、倉庫密碼等信息,并在后臺將竊得的信息發(fā)送到駭客指定的收信頁面“http://vnhju.com/y2y3/mfg/lin.asp”等上(地址加密存放),致使網(wǎng)絡(luò)游戲玩家的游戲賬號、裝備、物品、金錢等丟失,給游戲玩家造成了不同程度的損失。“瑪格尼亞”變種xgc會篡改注冊表,致使被感染系統(tǒng)的“顯示系統(tǒng)隱藏文件”功能失效,同時還可通過移動存儲設(shè)備的自動播放功能進(jìn)行傳播,以及連接指定URL“http://ghterw*.com/xmfx/help1.rar”進(jìn)行自我更新。另外,“瑪格尼亞”變種xgc會通過在被感染系統(tǒng)注冊表啟動項中添加鍵值“cdoosoft”,以此實現(xiàn)開機(jī)自動運(yùn)行。
英文名稱:Backdoor/Xyligan.p
中文名稱:“暗門”變種p
病毒長度:32682字節(jié)
病毒類型:后門
危險級別:★★
影響平臺:Win 9X/ME/NT/2000/XP/2003
MD5 校驗:43003ac45d393fdc2ac17afeb165ee28
特征描述:
Backdoor/Xyligan.p“暗門”變種p是“暗門”后門家族中的最新成員之一,采用“Microsoft Visual C++ 6.0”編寫,并且經(jīng)過加殼保護(hù)處理。“暗門”變種p運(yùn)行后,會自我復(fù)制到被感染系統(tǒng)的“%SystemRoot%\system32\”文件夾下,重新命名為“*.exe”(*為隨機(jī)6個字母)。之后將病毒原文件刪除,以此消除痕跡。“暗門”變種p運(yùn)行后,會將自我注冊為系統(tǒng)服務(wù),并將自身加入到Windows系統(tǒng)防火墻的“例外”列表中,使得防火墻不會監(jiān)視其發(fā)出的可疑連接。“暗門”變種p會不斷嘗試與控制端(地址為:ninibooo.33*.org:8000)進(jìn)行連接,一旦連接成功,則被感染的計算機(jī)將遭到被遠(yuǎn)程控制的威脅。駭客可以向被感染的計算機(jī)發(fā)送惡意指令,從而執(zhí)行視頻捕捉、文件管理、進(jìn)程控制、遠(yuǎn)程命令執(zhí)行、下載其它惡意程序等惡意操作,從而給用戶的信息安全造成嚴(yán)重的侵害。另外,“暗門”變種p會在被感染計算機(jī)中注冊名為“fyddos_service_name”的系統(tǒng)服務(wù),以此實現(xiàn)后門的開機(jī)自啟(服務(wù)名稱顯示為“fyddos service display”)。
【編輯推薦】
