移动存储设备传播病毒 破坏系统注册表

江民今日提醒您注意：在今天的病毒中Win32/Kdcyy.bk“千足虫”变种bk和Trojan/PSW.OnLineGames.wfv“网游窃贼”变种wfv值得关注。

病毒名称：Win32/Kdcyy.bk

中 文 名：“千足虫”变种bk（又名“磁碟机”）

病毒长度：95744字节

病毒类型：蠕虫

危险级别：★★

影响平台：Win 9X/ME/NT/2000/XP/2003

Win32/Kdcyy.bk“千足虫”变种bk是“千足虫”家族的最新成员之一，采用VC++6.0编写， 并经过加壳保护处理。“千足虫”变种bk运行后，会在被感染计算机系统的“%SystemRoot%\system32\com\”目录下释放病毒组件文件“lsass.exe”、“smss.exe”、“netcfg.000”和“netcfg.dll”，还会在被感染计算机系统的“%SystemRoot%\system32\”目录下释放病毒组件文件“dnsq.dll”。利用驱动程序来恢复SSDT Hook，使某些安全软件的监控失效。强行关闭大部分杀毒软件和安全工具软件。被感染计算机系统会经常死机或长时间卡住不动。利用“ARP病毒”在局域网中进行自我传播。感染除系统盘外所有盘符下的EXE可执行文件、网页文件、RAR和ZIP压缩包中的文件等(加密感染)，感染后的程序变为16位的图标，图标变模糊，类似于马赛克。一旦发现与安全相关的窗口存在，强行将其关闭。在所有盘符下生成“autorun.inf”和病毒体，并且对这些文件进行实时检测保护，利用移动设备进行传播。

破坏注册表，致使用户无法进入“安全模式”、无法查看隐藏的系统文件，致使注册表启动项失效。修改注册表，实现开启自动播放的功能。强行删除所有安全软件的关联注册表项，使其无法开启监控。利用进程守护技术，将病毒的“lsass.exe”、“smss.exe”进程主体和DLL组件进行关联，实现进程守护，一旦病毒文件被删除或被关闭，便马上生成并重新运行。以系统级权限运行，部分进程使用了进程保护技术。利用控制台命令来设置病毒程序文件的访问运行权限。利用了重启移动文件的技术，在用户重新启动计算机时，会把病毒主程序体移动到系统[启动]文件夹中，实现开机自启动。“千足虫”变种bk会在被感染计算机系统的后台访问骇客指定的广告站点，进行提升访问量，刷网络排名等操作。另外，“千足虫”变种bk还可以自升级。

病毒名称：Trojan/PSW.OnLineGames.wfv

中 文 名：“网游窃贼”变种wfv

病毒长度：8173字节

病毒类型：木马

危害等级：★

影响平台：Win 9X/ME/NT/2000/XP/2003

Trojan/PSW.OnLineGames.wfv“网游窃贼”变种wfv是“网游窃贼”木马家族的最新成员之一，采用VC++ 6.0编写，并经过加壳保护处理。“网游窃贼”变种wfv运行后，自我插入到被感染计算机系统的“explorer.exe”进程中加载运行，隐藏自我，防止被查杀。修改注册表，实现木马开机自动运行。在被感染计算机系统的后台利用HOOK和内存截取等技术盗取网络游戏《战魂 Online》玩家的游戏帐号、游戏密码、仓库密码、角色等级等信息，并在后台将玩家信息发送到骇客指定的远程服务器上，致使玩家的游戏帐号、装备物品、金钱等丢失，给《战魂 Online》游戏玩家带来非常大的损失。