江民今日提醒您注意：在今天的病毒中Trojan/PSW.Magania.xgc“瑪格尼亞”變種xgc和Backdoor/Xyligan.p“暗門”變種p值得關(guān)注。

英文名稱：Trojan/PSW.Magania.xgc

中文名稱：“瑪格尼亞”變種xgc

病毒長度：108018字節(jié)

病毒類型：盜號木馬

危險級別：★★

影響平臺：Win 9X/ME/NT/2000/XP/2003

MD5 校驗：2c61669939c391379a8c1532fe556847

特征描述：

Trojan/PSW.Magania.xgc“瑪格尼亞”變種xgc是“瑪格尼亞”盜號木馬家族中的最新成員之一，采用高級語言編寫，并且經(jīng)過加殼保護處理。“瑪格尼亞”變種xgc運行后，會自我復(fù)制到被感染計算機系統(tǒng)的臨時文件夾下，重新命名為“olhrwef.exe”。在相同目錄下釋放加殼保護的惡意DLL組件“nmdfgds*.dll”，文件屬性設(shè)置為“系統(tǒng)、隱藏、只讀”。另外，還可能在“%SystemRoot%\system32\drivers\”目錄下釋放惡意驅(qū)動程序“cdaudio.sys”，以此覆蓋系統(tǒng)同名文件。通過該驅(qū)動提供的服務(wù)，其可以結(jié)束某些安全軟件的自我保護，進而關(guān)閉其進程。也可以通過向指定的窗口對象發(fā)送特定消息的方式結(jié)束某些進程，以此達到自我保護的目的。“瑪格尼亞”變種xgc是一個盜取“驚天動地 Online”、“最終幻想XI Online”、“冒險島”、“魔獸世界”等網(wǎng)絡(luò)游戲會員賬號的木馬程序，其會將惡意代碼注入到“explorer.exe”中隱秘運行。安裝消息鉤子，監(jiān)視用戶當(dāng)前的系統(tǒng)狀況。插入指定的游戲進程中，利用鼠標(biāo)鍵盤鉤子、內(nèi)存截取等技術(shù)盜取網(wǎng)絡(luò)游戲玩家的游戲賬號、游戲密碼、所在區(qū)服、角色等級、金錢數(shù)量、倉庫密碼等信息，并在后臺將竊得的信息發(fā)送到駭客指定的收信頁面“http://vnhju.com/y2y3/mfg/lin.asp”等上（地址加密存放），致使網(wǎng)絡(luò)游戲玩家的游戲賬號、裝備、物品、金錢等丟失，給游戲玩家造成了不同程度的損失。“瑪格尼亞”變種xgc會篡改注冊表，致使被感染系統(tǒng)的“顯示系統(tǒng)隱藏文件”功能失效，同時還可通過移動存儲設(shè)備的自動播放功能進行傳播，以及連接指定URL“http://ghterw*.com/xmfx/help1.rar”進行自我更新。另外，“瑪格尼亞”變種xgc會通過在被感染系統(tǒng)注冊表啟動項中添加鍵值“cdoosoft”，以此實現(xiàn)開機自動運行。

英文名稱：Backdoor/Xyligan.p

中文名稱：“暗門”變種p

病毒長度：32682字節(jié)

病毒類型：后門

危險級別：★★

影響平臺：Win 9X/ME/NT/2000/XP/2003

MD5 校驗：43003ac45d393fdc2ac17afeb165ee28

特征描述：

Backdoor/Xyligan.p“暗門”變種p是“暗門”后門家族中的最新成員之一，采用“Microsoft Visual C++ 6.0”編寫，并且經(jīng)過加殼保護處理?！鞍甸T”變種p運行后，會自我復(fù)制到被感染系統(tǒng)的“%SystemRoot%\system32\”文件夾下，重新命名為“*.exe”（*為隨機6個字母）。之后將病毒原文件刪除，以此消除痕跡?！鞍甸T”變種p運行后，會將自我注冊為系統(tǒng)服務(wù)，并將自身加入到Windows系統(tǒng)防火墻的“例外”列表中，使得防火墻不會監(jiān)視其發(fā)出的可疑連接。“暗門”變種p會不斷嘗試與控制端（地址為：ninibooo.33*.org:8000）進行連接，一旦連接成功，則被感染的計算機將遭到被遠程控制的威脅。駭客可以向被感染的計算機發(fā)送惡意指令，從而執(zhí)行視頻捕捉、文件管理、進程控制、遠程命令執(zhí)行、下載其它惡意程序等惡意操作，從而給用戶的信息安全造成嚴(yán)重的侵害。另外，“暗門”變種p會在被感染計算機中注冊名為“fyddos_service_name”的系統(tǒng)服務(wù)，以此實現(xiàn)后門的開機自啟（服務(wù)名稱顯示為“fyddos service display”）。

【編輯推薦】

1. 病毒日報- 51CTO.COM
2. 病毒周報- 51CTO.COM