江民今日提醒您注意：在今天的病毒中Trojan/PSW.Magania.xgc“瑪格尼亞”變種xgc和Backdoor/Xyligan.p“暗門”變種p值得關注。

英文名稱：Trojan/PSW.Magania.xgc

中文名稱：“瑪格尼亞”變種xgc

病毒長度：108018字節(jié)

病毒類型：盜號木馬

危險級別：★★

影響平臺：Win 9X/ME/NT/2000/XP/2003

MD5 校驗：2c61669939c391379a8c1532fe556847

特征描述：

Trojan/PSW.Magania.xgc“瑪格尼亞”變種xgc是“瑪格尼亞”盜號木馬家族中的最新成員之一，采用高級語言編寫，并且經過加殼保護處理?！艾敻衲醽啞弊兎Nxgc運行后，會自我復制到被感染計算機系統(tǒng)的臨時文件夾下，重新命名為“olhrwef.exe”。在相同目錄下釋放加殼保護的惡意DLL組件“nmdfgds*.dll”，文件屬性設置為“系統(tǒng)、隱藏、只讀”。另外，還可能在“%SystemRoot%\system32\drivers\”目錄下釋放惡意驅動程序“cdaudio.sys”，以此覆蓋系統(tǒng)同名文件。通過該驅動提供的服務，其可以結束某些安全軟件的自我保護，進而關閉其進程。也可以通過向指定的窗口對象發(fā)送特定消息的方式結束某些進程，以此達到自我保護的目的?！艾敻衲醽啞弊兎Nxgc是一個盜取“驚天動地 Online”、“最終幻想XI Online”、“冒險島”、“魔獸世界”等網絡游戲會員賬號的木馬程序，其會將惡意代碼注入到“explorer.exe”中隱秘運行。安裝消息鉤子，監(jiān)視用戶當前的系統(tǒng)狀況。插入指定的游戲進程中，利用鼠標鍵盤鉤子、內存截取等技術盜取網絡游戲玩家的游戲賬號、游戲密碼、所在區(qū)服、角色等級、金錢數(shù)量、倉庫密碼等信息，并在后臺將竊得的信息發(fā)送到駭客指定的收信頁面“http://vnhju.com/y2y3/mfg/lin.asp”等上（地址加密存放），致使網絡游戲玩家的游戲賬號、裝備、物品、金錢等丟失，給游戲玩家造成了不同程度的損失?！艾敻衲醽啞弊兎Nxgc會篡改注冊表，致使被感染系統(tǒng)的“顯示系統(tǒng)隱藏文件”功能失效，同時還可通過移動存儲設備的自動播放功能進行傳播，以及連接指定URL“http://ghterw*.com/xmfx/help1.rar”進行自我更新。另外，“瑪格尼亞”變種xgc會通過在被感染系統(tǒng)注冊表啟動項中添加鍵值“cdoosoft”，以此實現(xiàn)開機自動運行。

英文名稱：Backdoor/Xyligan.p

中文名稱：“暗門”變種p

病毒長度：32682字節(jié)

病毒類型：后門

危險級別：★★

影響平臺：Win 9X/ME/NT/2000/XP/2003

MD5 校驗：43003ac45d393fdc2ac17afeb165ee28

特征描述：

Backdoor/Xyligan.p“暗門”變種p是“暗門”后門家族中的最新成員之一，采用“Microsoft Visual C++ 6.0”編寫，并且經過加殼保護處理。“暗門”變種p運行后，會自我復制到被感染系統(tǒng)的“%SystemRoot%\system32\”文件夾下，重新命名為“*.exe”（*為隨機6個字母）。之后將病毒原文件刪除，以此消除痕跡?！鞍甸T”變種p運行后，會將自我注冊為系統(tǒng)服務，并將自身加入到Windows系統(tǒng)防火墻的“例外”列表中，使得防火墻不會監(jiān)視其發(fā)出的可疑連接?！鞍甸T”變種p會不斷嘗試與控制端（地址為：ninibooo.33*.org:8000）進行連接，一旦連接成功，則被感染的計算機將遭到被遠程控制的威脅。駭客可以向被感染的計算機發(fā)送惡意指令，從而執(zhí)行視頻捕捉、文件管理、進程控制、遠程命令執(zhí)行、下載其它惡意程序等惡意操作，從而給用戶的信息安全造成嚴重的侵害。另外，“暗門”變種p會在被感染計算機中注冊名為“fyddos_service_name”的系統(tǒng)服務，以此實現(xiàn)后門的開機自啟（服務名稱顯示為“fyddos service display”）。

【編輯推薦】

1. 病毒日報- 51CTO.COM
2. 病毒周報- 51CTO.COM