【51CTO.com 綜合消息】江民今日提醒您注意：在今天的病毒中Trojan/PSW.WOW.ahc“魔獸賊”變種ahc和Packed.Klone.bdu“克隆先生”變種bdu值得關注。

　　英文名稱：Trojan/PSW.WOW.ahc
　　中文名稱：“魔獸賊”變種ahc
　　病毒長度：57344字節(jié)
　　病毒類型：盜號木馬
　　危險級別：★★
　　影響平臺：Win 9X/ME/NT/2000/XP/2003
　　MD5 校驗：6b4b6b5f912dade13843eac3d6c3ce78
　　特征描述：

Trojan/PSW.WOW.ahc“魔獸賊”變種ahc是“魔獸賊”盜號木馬家族中的最新成員之一，采用“Microsoft Visual C++ 6.0”編寫。“魔獸賊”變種ahc運行后，會自我復制到被感染系統(tǒng)的“C:\Program Files\ThunMail\”目錄下，重新命名為“testabd.exe”。還會在相同目錄下釋放惡意DLL組件“testabd.dll”，并將上述文件及文件夾的屬性設置為“系統(tǒng)、只讀、隱藏”。“魔獸賊”變種ahc是一個專門盜取“魔獸世界”網(wǎng)絡游戲會員賬號的木馬程序，通常會被插入到指定的進程中隱秘運行。該木馬會通過消息鉤子、內(nèi)存截取等技術盜取網(wǎng)絡游戲玩家的游戲賬號、游戲密碼、所在區(qū)服、角色等級、金錢數(shù)量、倉庫密碼等信息，并在后臺將竊取到的這些機密信息發(fā)送到駭客指定的URL“http://www.wow*nwowgold.com/wow/wow.asp”上（地址加密存放），致使網(wǎng)絡游戲玩家的游戲賬號、裝備、物品、金錢等丟失，給游戲玩家造成了不同程度的損失?！澳ЙF賊”變種ahc還會竊取用戶的“msn”、“Google”、“雅虎”的賬號密碼，并發(fā)送到駭客指定的服務器上，從而給用戶造成了不同程度的虛擬財產(chǎn)損失?！澳ЙF賊”變種ahc在安裝完畢后會將自身刪除，以此達到了消除痕跡的目的。另外，其會通過在被感染系統(tǒng)注冊表啟動項中添加鍵值“svc”以及修改“AppInit_DLLs”鍵值的方式實現(xiàn)木馬的開機自啟。

　　英文名稱：Packed.Klone.bdu
　　中文名稱：“克隆先生”變種bdu
　　病毒長度：397312字節(jié)
　　病毒類型：木馬
　　危險級別：★★
　　影響平臺：Win 9X/ME/NT/2000/XP/2003
　　MD5 校驗：d0c5ad3d08208d81c57d834219515c98
　　特征描述：

Packed.Klone.bdu“克隆先生”變種bdu是“克隆先生”木馬家族中的最新成員之一，采用高級語言編寫，并且經(jīng)過加殼保護處理?！翱寺∠壬弊兎Nbdu運行后，會自我復制到被感染系統(tǒng)的“%SystemRoot%\360tray\”目錄下，重新命名為“360tray.exe”（文件屬性為“系統(tǒng)、隱藏、只讀”）。不斷嘗試與控制端（地址為：a370240832.gi*p.net:8000）進行連接，如果連接成功，則被感染的計算機就會淪為傀儡主機。駭客可以向被感染的計算機發(fā)送惡意指令，從而執(zhí)行任意控制操作（控制操作包括但不限于：文件管理、進程控制、注冊表操作、服務管理、遠程命令執(zhí)行、屏幕監(jiān)控、鍵盤監(jiān)聽、鼠標控制、音頻監(jiān)控、視頻監(jiān)控等），給用戶的個人隱私甚至是商業(yè)機密造成不同程度的侵害。同時，駭客還可以向傀儡主機發(fā)送大量的惡意程序，從而對用戶的信息安全構成更加嚴重的威脅。另外，“克隆先生”變種bdu會在被感染系統(tǒng)中注冊名為“360tray.exe”的系統(tǒng)服務，以此實現(xiàn)木馬的開機自動運行。