江民今日提醒您注意：在今天的病毒中Trojan/PSW.Magania.xgc“瑪格尼亞”變種xgc和Backdoor/Xyligan.p“暗門”變種p值得關(guān)注。

英文名稱：Trojan/PSW.Magania.xgc

中文名稱：“瑪格尼亞”變種xgc

病毒長(zhǎng)度：108018字節(jié)

病毒類型：盜號(hào)木馬

危險(xiǎn)級(jí)別：★★

影響平臺(tái)：Win 9X/ME/NT/2000/XP/2003

MD5 校驗(yàn)：2c61669939c391379a8c1532fe556847

特征描述：

Trojan/PSW.Magania.xgc“瑪格尼亞”變種xgc是“瑪格尼亞”盜號(hào)木馬家族中的最新成員之一，采用高級(jí)語(yǔ)言編寫(xiě)，并且經(jīng)過(guò)加殼保護(hù)處理?！艾敻衲醽啞弊兎Nxgc運(yùn)行后，會(huì)自我復(fù)制到被感染計(jì)算機(jī)系統(tǒng)的臨時(shí)文件夾下，重新命名為“olhrwef.exe”。在相同目錄下釋放加殼保護(hù)的惡意DLL組件“nmdfgds*.dll”，文件屬性設(shè)置為“系統(tǒng)、隱藏、只讀”。另外，還可能在“%SystemRoot%\system32\drivers\”目錄下釋放惡意驅(qū)動(dòng)程序“cdaudio.sys”，以此覆蓋系統(tǒng)同名文件。通過(guò)該驅(qū)動(dòng)提供的服務(wù)，其可以結(jié)束某些安全軟件的自我保護(hù)，進(jìn)而關(guān)閉其進(jìn)程。也可以通過(guò)向指定的窗口對(duì)象發(fā)送特定消息的方式結(jié)束某些進(jìn)程，以此達(dá)到自我保護(hù)的目的。“瑪格尼亞”變種xgc是一個(gè)盜取“驚天動(dòng)地 Online”、“最終幻想XI Online”、“冒險(xiǎn)島”、“魔獸世界”等網(wǎng)絡(luò)游戲會(huì)員賬號(hào)的木馬程序，其會(huì)將惡意代碼注入到“explorer.exe”中隱秘運(yùn)行。安裝消息鉤子，監(jiān)視用戶當(dāng)前的系統(tǒng)狀況。插入指定的游戲進(jìn)程中，利用鼠標(biāo)鍵盤鉤子、內(nèi)存截取等技術(shù)盜取網(wǎng)絡(luò)游戲玩家的游戲賬號(hào)、游戲密碼、所在區(qū)服、角色等級(jí)、金錢數(shù)量、倉(cāng)庫(kù)密碼等信息，并在后臺(tái)將竊得的信息發(fā)送到駭客指定的收信頁(yè)面“http://vnhju.com/y2y3/mfg/lin.asp”等上（地址加密存放），致使網(wǎng)絡(luò)游戲玩家的游戲賬號(hào)、裝備、物品、金錢等丟失，給游戲玩家造成了不同程度的損失?！艾敻衲醽啞弊兎Nxgc會(huì)篡改注冊(cè)表，致使被感染系統(tǒng)的“顯示系統(tǒng)隱藏文件”功能失效，同時(shí)還可通過(guò)移動(dòng)存儲(chǔ)設(shè)備的自動(dòng)播放功能進(jìn)行傳播，以及連接指定URL“http://ghterw*.com/xmfx/help1.rar”進(jìn)行自我更新。另外，“瑪格尼亞”變種xgc會(huì)通過(guò)在被感染系統(tǒng)注冊(cè)表啟動(dòng)項(xiàng)中添加鍵值“cdoosoft”，以此實(shí)現(xiàn)開(kāi)機(jī)自動(dòng)運(yùn)行。

英文名稱：Backdoor/Xyligan.p

中文名稱：“暗門”變種p

病毒長(zhǎng)度：32682字節(jié)

病毒類型：后門

危險(xiǎn)級(jí)別：★★

影響平臺(tái)：Win 9X/ME/NT/2000/XP/2003

MD5 校驗(yàn)：43003ac45d393fdc2ac17afeb165ee28

特征描述：

Backdoor/Xyligan.p“暗門”變種p是“暗門”后門家族中的最新成員之一，采用“Microsoft Visual C++ 6.0”編寫(xiě)，并且經(jīng)過(guò)加殼保護(hù)處理?！鞍甸T”變種p運(yùn)行后，會(huì)自我復(fù)制到被感染系統(tǒng)的“%SystemRoot%\system32\”文件夾下，重新命名為“*.exe”（*為隨機(jī)6個(gè)字母）。之后將病毒原文件刪除，以此消除痕跡?！鞍甸T”變種p運(yùn)行后，會(huì)將自我注冊(cè)為系統(tǒng)服務(wù)，并將自身加入到Windows系統(tǒng)防火墻的“例外”列表中，使得防火墻不會(huì)監(jiān)視其發(fā)出的可疑連接?！鞍甸T”變種p會(huì)不斷嘗試與控制端（地址為：ninibooo.33*.org:8000）進(jìn)行連接，一旦連接成功，則被感染的計(jì)算機(jī)將遭到被遠(yuǎn)程控制的威脅。駭客可以向被感染的計(jì)算機(jī)發(fā)送惡意指令，從而執(zhí)行視頻捕捉、文件管理、進(jìn)程控制、遠(yuǎn)程命令執(zhí)行、下載其它惡意程序等惡意操作，從而給用戶的信息安全造成嚴(yán)重的侵害。另外，“暗門”變種p會(huì)在被感染計(jì)算機(jī)中注冊(cè)名為“fyddos_service_name”的系統(tǒng)服務(wù)，以此實(shí)現(xiàn)后門的開(kāi)機(jī)自啟（服務(wù)名稱顯示為“fyddos service display”）。

【編輯推薦】

1. 病毒日?qǐng)?bào)- 51CTO.COM
2. 病毒周報(bào)- 51CTO.COM