【51CTO.com 綜合消息】江民今日提醒您注意：在今天的病毒中Trojan/PSW.WOW.ahc“魔獸賊”變種ahc和Packed.Klone.bdu“克隆先生”變種bdu值得關(guān)注。

　　英文名稱：Trojan/PSW.WOW.ahc
　　中文名稱：“魔獸賊”變種ahc
　　病毒長度：57344字節(jié)
　　病毒類型：盜號(hào)木馬
　　危險(xiǎn)級(jí)別：★★
　　影響平臺(tái)：Win 9X/ME/NT/2000/XP/2003
　　MD5 校驗(yàn)：6b4b6b5f912dade13843eac3d6c3ce78
　　特征描述：

Trojan/PSW.WOW.ahc“魔獸賊”變種ahc是“魔獸賊”盜號(hào)木馬家族中的最新成員之一，采用“Microsoft Visual C++ 6.0”編寫。“魔獸賊”變種ahc運(yùn)行后，會(huì)自我復(fù)制到被感染系統(tǒng)的“C:\Program Files\ThunMail\”目錄下，重新命名為“testabd.exe”。還會(huì)在相同目錄下釋放惡意DLL組件“testabd.dll”，并將上述文件及文件夾的屬性設(shè)置為“系統(tǒng)、只讀、隱藏”。“魔獸賊”變種ahc是一個(gè)專門盜取“魔獸世界”網(wǎng)絡(luò)游戲會(huì)員賬號(hào)的木馬程序，通常會(huì)被插入到指定的進(jìn)程中隱秘運(yùn)行。該木馬會(huì)通過消息鉤子、內(nèi)存截取等技術(shù)盜取網(wǎng)絡(luò)游戲玩家的游戲賬號(hào)、游戲密碼、所在區(qū)服、角色等級(jí)、金錢數(shù)量、倉庫密碼等信息，并在后臺(tái)將竊取到的這些機(jī)密信息發(fā)送到駭客指定的URL“http://www.wow*nwowgold.com/wow/wow.asp”上（地址加密存放），致使網(wǎng)絡(luò)游戲玩家的游戲賬號(hào)、裝備、物品、金錢等丟失，給游戲玩家造成了不同程度的損失。“魔獸賊”變種ahc還會(huì)竊取用戶的“msn”、“Google”、“雅虎”的賬號(hào)密碼，并發(fā)送到駭客指定的服務(wù)器上，從而給用戶造成了不同程度的虛擬財(cái)產(chǎn)損失。“魔獸賊”變種ahc在安裝完畢后會(huì)將自身刪除，以此達(dá)到了消除痕跡的目的。另外，其會(huì)通過在被感染系統(tǒng)注冊表啟動(dòng)項(xiàng)中添加鍵值“svc”以及修改“AppInit_DLLs”鍵值的方式實(shí)現(xiàn)木馬的開機(jī)自啟。

　　英文名稱：Packed.Klone.bdu
　　中文名稱：“克隆先生”變種bdu
　　病毒長度：397312字節(jié)
　　病毒類型：木馬
　　危險(xiǎn)級(jí)別：★★
　　影響平臺(tái)：Win 9X/ME/NT/2000/XP/2003
　　MD5 校驗(yàn)：d0c5ad3d08208d81c57d834219515c98
　　特征描述：

Packed.Klone.bdu“克隆先生”變種bdu是“克隆先生”木馬家族中的最新成員之一，采用高級(jí)語言編寫，并且經(jīng)過加殼保護(hù)處理。“克隆先生”變種bdu運(yùn)行后，會(huì)自我復(fù)制到被感染系統(tǒng)的“%SystemRoot%\360tray\”目錄下，重新命名為“360tray.exe”（文件屬性為“系統(tǒng)、隱藏、只讀”）。不斷嘗試與控制端（地址為：a370240832.gi*p.net:8000）進(jìn)行連接，如果連接成功，則被感染的計(jì)算機(jī)就會(huì)淪為傀儡主機(jī)。駭客可以向被感染的計(jì)算機(jī)發(fā)送惡意指令，從而執(zhí)行任意控制操作（控制操作包括但不限于：文件管理、進(jìn)程控制、注冊表操作、服務(wù)管理、遠(yuǎn)程命令執(zhí)行、屏幕監(jiān)控、鍵盤監(jiān)聽、鼠標(biāo)控制、音頻監(jiān)控、視頻監(jiān)控等），給用戶的個(gè)人隱私甚至是商業(yè)機(jī)密造成不同程度的侵害。同時(shí)，駭客還可以向傀儡主機(jī)發(fā)送大量的惡意程序，從而對用戶的信息安全構(gòu)成更加嚴(yán)重的威脅。另外，“克隆先生”變種bdu會(huì)在被感染系統(tǒng)中注冊名為“360tray.exe”的系統(tǒng)服務(wù)，以此實(shí)現(xiàn)木馬的開機(jī)自動(dòng)運(yùn)行。