病毒播报：“危鬼”和“DNS骗子”病毒

江民今日提醒您注意：在今天的病毒中Trojan/Vilsel.axp"危鬼"变种axp和Trojan/DNSSmokva.am"DNS骗子"变种am值得关注。

英文名称：Trojan/Vilsel.axp
中文名称："危鬼"变种axp
病毒长度：13948字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：d896d1cca5dc9af6e0ee01d9f598a303

特征描述：
Trojan/Vilsel.axp"危鬼"变种axp是"危鬼"家族中的最新成员之一，采用"Microsoft Visual C++"编写，经过加壳保护处理。"危鬼"变种axp运行后，会在被感染系统的"%SystemRoot%system32"文件夹下创建恶意DLL组件"kb*.dll"（8位随机数），在系统临时文件夹"%USERPROFILE%Local SettingsTemp"下创建两个临时文件，同时还会创建配置文件"%SystemRoot%system32wsconfig.db"和"%SystemRoot%system32dllcachemtpws31.dat"。"危鬼"变种axp会把系统文件"C:WINDOWSsystem32imm32.dll"备份为"C:WINDOWSsystem32imm32.dll.bak"，之后关闭系统文件保护功能，并修改"imm32.dll"文件的入口代码，以此实现调用病毒组件的目的。在执行病毒组件的同时，其仍会执行系统组件自身的功能，以此增强了自身的隐蔽性。"危鬼"变种axp释放的DLL是一个专门盗取"梦幻诛仙"网络游戏会员账号的木马程序，其会在被感染系统的后台秘密监视用户系统中运行的所有应用程序的窗口标题，然后利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息，并在后台将窃得的信息发送到骇客指定的页面"http://denglu.foxye**oxox.com:8085/lin.asp"上（地址加密存放），致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家造成了不同程度的损失。另外，"危鬼"变种axp在安装完毕后会将自我删除，以此消除痕迹。

英文名称：Trojan/DNSSmokva.am
中文名称："DNS骗子"变种am
病毒长度：20992字节
病毒类型：木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：66d386e50d39caf7407a0c55aa45a832

特征描述：
Trojan/DNSSmokva.am"DNS骗子"变种am是"DNS骗子"家族中的最新成员之一。"DNS骗子"变种am会通过修改注册表"HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters"下相关键值的方式，实现篡改系统DNS设置的目的。其会将"本地连接"的DNS服务器地址设置为"85.255.*.85"（首选）和"85.255.112.236"（备用），当被感染系统用户在提交域名时，可能会被该DNS服务器进行恶意解析，从而被引导至恶意站点上，致使用户面临极大的风险和威胁。

未经允许不得转载：DOIT » 病毒播报：“危鬼”和“DNS骗子”病毒