警惕专门窃取"寻仙"网游密码木马

江民今日提醒您注意：在今天的病毒中Trojan/PSW.OnLineGames.aqtv“网游窃贼”变种aqtv和Trojan/PSW.Nilage.cyz“尼拉葛”变种cyz值得关注。

英文名称：Trojan/PSW.OnLineGames.aqtv
中文名称：“网游窃贼”变种aqtv
病毒长度：27648字节
病毒类型：盗号木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：712d95bbcfcad0614b15e5afd24300b5
特征描述：
    Trojan/PSW.OnLineGames.aqtv“网游窃贼”变种aqtv是“网游窃贼”木马家族中的最新成员之一，采用高级语言编写，是一个由其它恶意程序释放至被感染系统“%SystemRoot%\system32\”目录下的以8位随机字符命名的恶意DLL组件。“网游窃贼”变种aqtv一般会被插入到系统桌面程序“explorer.exe”等几乎所有用户级权限的进程中加载运行，在后台执行恶意操作，以此隐藏自我，防止被轻易地发现和查杀。该盗号木马是一个专门盗取“寻仙”网络游戏会员账号的木马程序，运行后会首先确认自身是否已经被插入到指定游戏进程“tty3d.exe”中。如果已经插入成功，则会通过窗口钩子、内存截取等方式盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量等信息，并在后台将窃取到的这些机密信息发送到骇客指定的远程服务器站点“http://www.kaoyu**5.com/f32/post.asp”和“http://www.kaoyu**5.com/z/post.asp”上，致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家造成了不同程度的损失。另外，“网游窃贼”变种aqtv会通过修改被感染计算机注册表中的“AppInit_DLLs”键值的方式实现木马的开机自启。

英文名称：Trojan/PSW.Nilage.cyz
中文名称：“尼拉葛”变种cyz
病毒长度：751771字节
病毒类型：盗号木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：147e56738bd13828fb2a671e7a083ae3
特征描述：
    Trojan/PSW.Nilage.cyz“尼拉葛”变种cyz是“尼拉葛”盗号木马家族中的最新成员之一，采用高级语言编写，并且经过加壳保护处理。“尼拉葛”变种cyz运行后，会在被感染计算机系统的“%USERPROFILE%\Local Settings\Temp\”目录下释放恶意程序“免杀.exe”（该程序为灰鸽子远程控制木马2009会员专版）并调用运行。灰鸽子远程控制木马运行后，会在“%SystemRoot%\system32\”目录下释放恶意程序“vshost”，并设置文件属性为“系统、隐藏、只读”。注入恶意代码至“svchost.exe”的进程中，以此实现了恶意程序的隐密运行。在被感染计算机后台不断尝试与控制端（IP地址为：60.172.*.3:8000）进行连接，致使被感染的计算机沦为骇客的傀儡主机。骇客可以向被感染的计算机发送恶意指令，从而执行任意控制操作，其中包括：文件管理、进程控制、注册表操作、远程命令执行、屏幕监控、键盘监听、视频监控等，给被感染计算机用户的个人隐私，甚至是商业机密造成了不同程度的侵害。同时，骇客还可以向傀儡主机发送大量的恶意程序，更进一步的加深了用户所面临的威胁。另外，该远程控制木马会在被感染计算机中注册名为“Veou”的系统服务，以此实现木马的开机自动运行。