英文名稱：Trojan/Pincav.jwj

 

中文名稱：“惡推客”變種jwj

 

病毒長度：118272字節

 

病毒類型：木馬

 

危險級別：兩星

 

影響平臺：Win 9X/ME/NT/2000/XP/2003

 

MD5 校驗：9c44c6c9f0bece0a7149b738bb629b82

 

特征描述：

 

Trojan/Pincav.jwj“惡推客”變種jwj是“惡推客”家族中的最新成員之一，采用高級語言編寫，經過加殼保護處理。“惡推客”變種jwj運行后，會自我復制到被感染系統的“%SystemRoot%\system32\”文件夾下，重新命名為“dwtzo.exe”。將惡意代碼注入到新建的“explorer.exe”進程中隱秘運行。后臺執行惡意操作，以此隱藏自我，防止被輕易地查殺。其會在被感染系統的后臺連接駭客指定的站點“www.chibitwtw*h.com/sanji/”，下載惡意程序“chibitwtw123hhh.gif”、“chibitwtw123hhh.jpg”、“chibitwtw123hhh.bmp”并自動調用運行。其所下載的惡意程序可能為網絡游戲盜號木馬、遠程控制后門或惡意廣告程序(流氓軟件)等，致使用戶面臨更多的威脅。

 

“惡推客”變種jwj是一個專門盜取網絡游戲會員賬號的木馬程序，其會在被感染計算機的后臺秘密監視系統所運行程序的窗口標題，一旦發現指定程序啟動，便會利用鍵盤鉤子、內存截取或封包截取等技術盜取網絡游戲玩家的游戲賬號、游戲密碼、所在區服、角色等級、金錢數量、倉庫密碼等信息，并在后臺將竊得的信息發送到駭客指定的站點上(地址加密存放)，致使網絡游戲玩家的游戲賬號、裝備、物品、金錢等丟失，給游戲玩家造成了不同程度的損失。

 

在被感染系統的后臺連接駭客指定的站點“www.ha*06.com”，獲取配置文件(內容為加密數據，其中包括病毒的版本號、更新日期、惡意網址等)，然后根據其中的設置執行相應的惡意操作。另外，“惡推客”變種jwj會通過在被感染系統注冊表啟動項中添加鍵值、修改登陸初始化內容等多種方式實現自動運行。

 

英文名稱：Packed.Klone.ifn

 

中文名稱：“克隆先生”變種ifn

 

病毒長度：168448字節

 

病毒類型：木馬

 

危險級別：兩星

 

影響平臺：Win 9X/ME/NT/2000/XP/2003

 

MD5 校驗：0f4d48c042a91df1be16c9c5c43d8ba4

 

特征描述：

 

Packed.Klone.ifn“克隆先生”變種ifn是“克隆先生”家族中的最新成員之一，采用高級語言編寫，經過加殼保護處理。“克隆先生”變種ifn運行后，會查找%system32%\drivers目錄下是否存在klif.sys文件。創建iexplore.exe進程，加載ntdll.dll，動態獲取ZwUnmapViewOfSection函數，利用該函數獲取當前進程的基址，申請內存空間，然后會在被感染系統的“%SystemRoot%\system32\”文件夾下釋放惡意DLL組件“twking0.dll”，并設置文件屬性為隱藏、系統、只讀。自我復制到被感染系統的“%SystemRoot%\system32\”文件夾下，重新命名為“twking.exe”。

 

“克隆先生”變種ifn運行時，會在被感染系統的后臺連接駭客指定的站點“www.bai*dg3.com/1tw/”，下載惡意程序“at1.rar”并自動調用運行。其所下載的惡意程序可能為網絡游戲盜號木馬、遠程控制后門或惡意廣告程序(流氓軟件)等，致使用戶面臨更多的威脅。還會向系統桌面程序“explorer.exe”進程中注入代碼，并在后臺執行惡意操作，以此隱藏自我，防止被輕易地查殺。

 

秘密監視所有正在運行程序的窗口標題，一旦發現標題中存在與安全相關的字符串(如“AVP.AlertDialog”、“AVP.Product_Notification”)便會嘗試結束其進程，從而達到自我保護的目的。遍歷當前系統中運行的所有進程，如果發現某些指定的安全軟件存在，“克隆先生”變種ifn也會嘗試將其強行關閉，從而達到自我保護的目的。“克隆先生”變種ifn會在被感染系統注冊表啟動項中添加鍵值，以此實現自動運行。

 

病毒木馬的種類有很多，大家一定要提高自我防范意識，有效地避免病毒木馬的侵襲。