12月18日病毒播报：“毒波”和“网游窃贼”

江民今日提醒您注意：在今天的病毒中Backdoor/NetBot.mq"毒波"变种mq和Trojan/PSW.OnLineGames.bhok"网游窃贼"变种bhok值得关注。

英文名称：Backdoor/NetBot.mq
中文名称："毒波"变种mq
病毒长度：72448字节
病毒类型：后门
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：4fd14ddc30a1821f3185336b4f7936a1

特征描述：
Backdoor/NetBot.mq"毒波"变种mq是"毒波"家族中的最新成员之一，采用"Microsoft Visual C++ 6.0"编写。"毒波"变种mq运行后，会自我复制到被感染系统的"%SystemRoot%system32"文件夹下，重新命名为"regedit32.exe"（区别于正常系统文件"regedt32.exe"），文件属性设置为"系统、隐藏"，同时还可能释放仿冒系统文件的驱动文件"beep.sys"。"毒波"变种mq会自我复制到可移动存储设备的根目录下，重新命名为"setup.exe"。同时生成"autorun.inf"文件，文件属性均设置为"只读、系统、隐藏"，从而达到了利用可移动存储设备进行传播的目的。"毒波"变种mq运行后，会将恶意代码注入到新创建的进程"svchost.exe"的内存空间中隐秘运行。不断尝试与控制端（地址为：benbenwan.22*8.org:8000）进行连接，连接成功后骇客可以向被感染的计算机发送恶意指令，从而执行文件管理、进程控制、注册表操作、服务管理、远程命令执行、屏幕监控、键盘监听、鼠标控制等恶意行为，从而给用户的信息安全构成严重的威胁。另外，"毒波"变种mq会在被感染计算机中注册名为"BackGround switch"的系统服务，以此实现开机自启。

英文名称：Trojan/PSW.OnLineGames.bhok
中文名称："网游窃贼"变种bhok
病毒长度：73371字节
病毒类型：盗号木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：7c5f73ce1467f667456089dcaa175c2d

特征描述：
Trojan/PSW.OnLineGames.bhok"网游窃贼"变种bhok是"网游窃贼"家族中的最新成员之一，采用"Borland Delphi 6.0 – 7.0"编写，经过加壳保护处理。"网游窃贼"变种bhok运行后，会自我复制到被感染系统的"%ProgramFiles%Internet Explorer"文件夹下，重新命名为"SDK.bak"。释放恶意DLL文件"SDK.dll"，同时备份为"SDK.tmp"。"网游窃贼"变种bhok是一个专门盗取"腾讯QQ"账号和密码的木马程序，运行后会首先查看自身是否已经插入到"QQ.exe"、"explorer.exe"或"verclsid.exe"等进程之中。强行迫使用户掉线，并重新返回到"QQ"的登陆窗口中。通过一系列的消息钩子、内存截取等操作，盗取用户输入的账号和密码等机密信息，并在后台将窃得的信息（包括计算机名、当前IP地址、计算机用户名、QQ账号、QQ密码等）发送到骇客指定的页面"http://www.hahah*la.cn/dami/qq.asp"（地址加密存放）上，从而给用户造成了不同程度的损失。另外，"网游窃贼"变种bhok会修改注册表键"ShellExecuteHooks"的键值，以此实现开机自动运行。

未经允许不得转载：DOIT » 12月18日病毒播报：“毒波”和“网游窃贼”