小心电脑被中“网游窃贼”

和“魅魔”盗号木马病毒

以下是PC捍卫者为你整理的“网游窃贼”和“魅魔”盗号木马的病毒分析,根据著名安全厂商江民公司的报告.

江民今日（8月22日）提醒您注意：在今天的病毒中Trojan/PSW.OnLineGames.azfw“网游窃贼”变种azfw和Trojan/MMM.hm“魅魔”变种hm值得关注。

英文名称：Trojan/PSW.OnLineGames.azfw

中文名称：“网游窃贼”变种azfw

病毒长度：109056字节

病毒类型：盗号木马

危险级别：★

影响平台：Win 9X/ME/NT/2000/XP/2003

MD5 校验：e59c6d9a4cb1da588f3ef7bb85ac0913

特征描述：

Trojan/PSW.OnLineGames.azfw“网游窃贼”变种azfw是“网游窃贼”盗号木马家族中的最新成员之一，采用“Borland Delphi 6.0 - 7.0”编写，并且经过加壳保护处理。“网游窃贼”变种azfw运行后，会在被感染计算机系统的“%SystemRoot%\help\”目录下释放经过加壳保护的恶意DLL组件“ATIWINGHKBES.dll”，文件属性设置为“系统、隐藏”。“网游窃贼”变种azfw运行时，会试图通过篡改系统时间的方式致使某些安全软件的监控功能失效，从而达到了自我保护的目的。“网游窃贼”变种azfw是一个盗取“雅虎奇摩”会员账号的木马程序，运行后会首先确认自身是否已经被插入到桌面进程“explorer.exe”中。另外，“网游窃贼”变种azfw会修改注册表键“ShellExecuteHooks”的键值，以此实现盗号木马的开机自启。 通过安装消息钩子等方式，监视当前的系统状态，伺机进行恶意操作。定位“yahoobuddymain”窗口，利用消息钩子、内存截取等技术盗取用户的账号、密码、身份证号等信息，并在后台将窃取到的信息发送到骇客指定的收信页面“http://www.djyoud*.com/tw/sendmail.asp”等上（地址加密存放），致使用户的账号丢失，从而蒙受不同程度的损失。

转截请注明:文章来自 pc捍卫者 http://www.pchwz.com 本站发布此文为传递更多信息之目的,不表明pc捍卫者赞同其观点