英文名稱：Trojan/Pincav.jwj

 

中文名稱：“惡推客”變種jwj

 

病毒長(zhǎng)度：118272字節(jié)

 

病毒類型：木馬

 

危險(xiǎn)級(jí)別：兩星

 

影響平臺(tái)：Win 9X/ME/NT/2000/XP/2003

 

MD5 校驗(yàn)：9c44c6c9f0bece0a7149b738bb629b82

 

特征描述：

 

Trojan/Pincav.jwj“惡推客”變種jwj是“惡推客”家族中的最新成員之一，采用高級(jí)語言編寫，經(jīng)過加殼保護(hù)處理。“惡推客”變種jwj運(yùn)行后，會(huì)自我復(fù)制到被感染系統(tǒng)的“%SystemRoot%\system32\”文件夾下，重新命名為“dwtzo.exe”。將惡意代碼注入到新建的“explorer.exe”進(jìn)程中隱秘運(yùn)行。后臺(tái)執(zhí)行惡意操作，以此隱藏自我，防止被輕易地查殺。其會(huì)在被感染系統(tǒng)的后臺(tái)連接駭客指定的站點(diǎn)“www.chibitwtw*h.com/sanji/”，下載惡意程序“chibitwtw123hhh.gif”、“chibitwtw123hhh.jpg”、“chibitwtw123hhh.bmp”并自動(dòng)調(diào)用運(yùn)行。其所下載的惡意程序可能為網(wǎng)絡(luò)游戲盜號(hào)木馬、遠(yuǎn)程控制后門或惡意廣告程序(流氓軟件)等，致使用戶面臨更多的威脅。

 

“惡推客”變種jwj是一個(gè)專門盜取網(wǎng)絡(luò)游戲會(huì)員賬號(hào)的木馬程序，其會(huì)在被感染計(jì)算機(jī)的后臺(tái)秘密監(jiān)視系統(tǒng)所運(yùn)行程序的窗口標(biāo)題，一旦發(fā)現(xiàn)指定程序啟動(dòng)，便會(huì)利用鍵盤鉤子、內(nèi)存截取或封包截取等技術(shù)盜取網(wǎng)絡(luò)游戲玩家的游戲賬號(hào)、游戲密碼、所在區(qū)服、角色等級(jí)、金錢數(shù)量、倉庫密碼等信息，并在后臺(tái)將竊得的信息發(fā)送到駭客指定的站點(diǎn)上(地址加密存放)，致使網(wǎng)絡(luò)游戲玩家的游戲賬號(hào)、裝備、物品、金錢等丟失，給游戲玩家造成了不同程度的損失。

 

在被感染系統(tǒng)的后臺(tái)連接駭客指定的站點(diǎn)“www.ha*06.com”，獲取配置文件(內(nèi)容為加密數(shù)據(jù)，其中包括病毒的版本號(hào)、更新日期、惡意網(wǎng)址等)，然后根據(jù)其中的設(shè)置執(zhí)行相應(yīng)的惡意操作。另外，“惡推客”變種jwj會(huì)通過在被感染系統(tǒng)注冊(cè)表啟動(dòng)項(xiàng)中添加鍵值、修改登陸初始化內(nèi)容等多種方式實(shí)現(xiàn)自動(dòng)運(yùn)行。

 

英文名稱：Packed.Klone.ifn

 

中文名稱：“克隆先生”變種ifn

 

病毒長(zhǎng)度：168448字節(jié)

 

病毒類型：木馬

 

危險(xiǎn)級(jí)別：兩星

 

影響平臺(tái)：Win 9X/ME/NT/2000/XP/2003

 

MD5 校驗(yàn)：0f4d48c042a91df1be16c9c5c43d8ba4

 

特征描述：

 

Packed.Klone.ifn“克隆先生”變種ifn是“克隆先生”家族中的最新成員之一，采用高級(jí)語言編寫，經(jīng)過加殼保護(hù)處理。“克隆先生”變種ifn運(yùn)行后，會(huì)查找%system32%\drivers目錄下是否存在klif.sys文件。創(chuàng)建iexplore.exe進(jìn)程，加載ntdll.dll，動(dòng)態(tài)獲取ZwUnmapViewOfSection函數(shù)，利用該函數(shù)獲取當(dāng)前進(jìn)程的基址，申請(qǐng)內(nèi)存空間，然后會(huì)在被感染系統(tǒng)的“%SystemRoot%\system32\”文件夾下釋放惡意DLL組件“twking0.dll”，并設(shè)置文件屬性為隱藏、系統(tǒng)、只讀。自我復(fù)制到被感染系統(tǒng)的“%SystemRoot%\system32\”文件夾下，重新命名為“twking.exe”。

 

“克隆先生”變種ifn運(yùn)行時(shí)，會(huì)在被感染系統(tǒng)的后臺(tái)連接駭客指定的站點(diǎn)“www.bai*dg3.com/1tw/”，下載惡意程序“at1.rar”并自動(dòng)調(diào)用運(yùn)行。其所下載的惡意程序可能為網(wǎng)絡(luò)游戲盜號(hào)木馬、遠(yuǎn)程控制后門或惡意廣告程序(流氓軟件)等，致使用戶面臨更多的威脅。還會(huì)向系統(tǒng)桌面程序“explorer.exe”進(jìn)程中注入代碼，并在后臺(tái)執(zhí)行惡意操作，以此隱藏自我，防止被輕易地查殺。

 

秘密監(jiān)視所有正在運(yùn)行程序的窗口標(biāo)題，一旦發(fā)現(xiàn)標(biāo)題中存在與安全相關(guān)的字符串(如“AVP.AlertDialog”、“AVP.Product_Notification”)便會(huì)嘗試結(jié)束其進(jìn)程，從而達(dá)到自我保護(hù)的目的。遍歷當(dāng)前系統(tǒng)中運(yùn)行的所有進(jìn)程，如果發(fā)現(xiàn)某些指定的安全軟件存在，“克隆先生”變種ifn也會(huì)嘗試將其強(qiáng)行關(guān)閉，從而達(dá)到自我保護(hù)的目的。“克隆先生”變種ifn會(huì)在被感染系統(tǒng)注冊(cè)表啟動(dòng)項(xiàng)中添加鍵值，以此實(shí)現(xiàn)自動(dòng)運(yùn)行。

 

病毒木馬的種類有很多，大家一定要提高自我防范意識(shí)，有效地避免病毒木馬的侵襲。