您现在的位置：一起杀毒网 > 病毒快报 > “X疙瘩”变种ak和“密室大盗”盗号木马变种bj值得关注

“X疙瘩”变种ak和“密室大盗”盗号木马变种bj值得关注

信息来源：江民科技作者：管理员添加日期：2010-03-8 09:11 【大中小】

核心提示：“密室大盗”变种bj是一个专门盗取“QQ三国”网络游戏会员账号的木马程序.X疙瘩变种ak删除“IE浏览器桌面图标”，创建一个仿冒的IE浏览器快捷方式”。

文档标签：不一样的精品电子杂志 X疙瘩密室大盗木马盗号

英文名称：TrojanDownloader.Xanda.ak

中文名称：“X疙瘩”变种ak

病毒长度：24265字节

病毒类型：木马下载器

危险级别：★

影响平台：Win 9X/ME/NT/2000/XP/2003

MD5 校验：102eca316ffe81ea9a02e0dcb7d4e2ea

特征描述：

TrojanDownloader.Xanda.ak“X疙瘩”变种ak是“X疙瘩”家族中的最新成员之一，采用“Microsoft Visual Basic 5.0 / 6.0”编写，经过加壳保护处理。

“X疙瘩”变种ak运行后，会在被感染系统的后台执行命令“taskkill /f /im rstray.exe”，以此试图关闭某安全软件。自我复制到被感染系统的“%SystemRoot%\system32\”文件夹下，重新命名为“bcttqqc32.exe”。

还会在系统“%SystemRoot%\system32\”文件夹下释放恶意DLL组件“bcttqqc32.dll”（文件信息经过伪装），并将其注册为IE浏览器辅助对象BHO，以此达到随IE浏览器的启动而自动运行的目的。删除“IE浏览器桌面图标”，然后在当前桌面上创建一个仿冒的“IE浏览器快捷方式”。

通过该快捷方式启动的IE会自动打开骇客指定的站点“http://www.365*odh.cn”，从而增加了其访问量。“X疙瘩”变种ak会在被感染系统的后台连接骇客指定的站点“http://97f*ihu.com/”，下载恶意程序“download3.exe”并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，致使用户面临更多的威胁。

另外，其会访问骇客指定的网页地址“http://www.365*odh.cn/tj/xiaohui/e5/count.asp?mac=2-4-10-140-58-119-94-66-62-218-252-25&ver=1.0”，以此对被感染系统进行数量统计。“X疙瘩”变种ak会通过在被感染系统注册表启动项中添加键值的方式实现开机自启。另外，其安装程序在运行完毕后会自我删除，以此达到消除痕迹的目的。

英文名称：Trojan/PSW.Kykymber.bj

中文名称：“密室大盗”变种bj

病毒长度：13612字节

病毒类型：盗号木马

危险级别：★

影响平台：Win 9X/ME/NT/2000/XP/2003

MD5 校验：3cf7bd7bcda49458e7a509b0e8f7df39

特征描述：

Trojan/PSW.Kykymber.bj“密室大盗”变种bj是“密室大盗”家族中的最新成员之一，采用高级语言编写，是一个由其它恶意程序释放出来的DLL功能组件，经过加壳保护处理。

“密室大盗”变种bj是一个专门盗取“QQ三国”网络游戏会员账号的木马程序，其会在后台秘密监视用户系统中运行的所有应用程序的窗口标题，然后利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息，并在后台将窃得的信息发送到骇客指定的站点上（地址加密存放），致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家造成了不同程度的损失。

另外，“密室大盗”变种bj会通过添加注册表启动项的方式实现开机自启。

顶

踩