谨防“魔兽贼”木马和“U盘寄生虫”蠕虫病毒

江民今日提醒您注意：在今天的病毒中Trojan/PSW.WOW.xq“魔兽贼”变种xq和Worm/AutoRun.gjl“U盘寄生虫”变种gjl值得关注。

英文名称：Trojan/PSW.WOW.xq
中文名称：“魔兽贼”变种xq
病毒长度：26160字节
病毒类型：盗号木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：25b3be85b3fd608d79d9791e56d2647e
特征描述：
    Trojan/PSW.WOW.xq“魔兽贼”变种xq是“魔兽贼”盗号木马家族中的最新成员之一，采用高级语言编写，并且经过加壳保护处理。“魔兽贼”变种xq运行后，会在被感染计算机系统的“%USERPROFILE%\Local Settings\Temp\”目录下释放恶意DLL组件“qrqwerwqer.dll”和恶意程序“test.exe”，如果检测到系统中存在某些安全软件时，还会在“%SystemRoot%\system32\drivers\”目录下释放恶意驱动程序“systemd.sys”。在指定游戏目录下释放恶意DLL组件“LPK.dll”，同时复制系统正常文件“%SystemRoot%\system32\LPK.dll”到游戏目录下并重新命名为“DnfText.dll”，另外，“魔兽贼”变种xq还会自我复制为“DNFupdate.exe”。“魔兽贼”变种xq运行时，会利用其释放的恶意驱动程序试图关闭某些安全软件的自保护功能，从而终止其运行，致使用户的计算机系统失去保护。监视当前系统中正在运行的程序的窗口标题，如果发现指定标题的窗口（一些安全类软件）存在，则会自动退出。退出时，其会将自身移动到临时文件夹下并重新命名为“DNFupdate.gif”，从而达到了隐藏自我的目的。“魔兽贼”变种xq是一个专门盗取“地下城与勇士”网络游戏会员账号的木马程序，会随着游戏的启动而自动加载运行。运行后，会首先确认自身是否已经被插入到指定的游戏进程中。一旦插入成功，便会利用消息钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息，并在后台将窃取到的信息发送到骇客指定的远程服务器站点“http://gfdgfdgdfgdfgdf*.3322.org/kng”、“http://www.h*1988.com/ok”、“http://dnfpb.33*.org/pp”上（地址加密存放），致使网络游戏玩家的游戏账号、装备等丢失，给游戏玩家造成了不同程度的损失。

英文名称：Worm/AutoRun.gjl
中文名称：“U盘寄生虫”变种gjl
病毒长度：33792字节
病毒类型：蠕虫
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：d98c41da872bc4ad9f30653c041c564f
特征描述：
    Worm/AutoRun.gjl“U盘寄生虫”变种gjl是“U盘寄生虫”蠕虫家族中的最新成员之一，采用高级语言编写，并且经过加壳保护处理。“U盘寄生虫”变种gjl运行后，会在被感染计算机系统的“C:\Program Files\”目录下释放经过加壳保护的恶意程序“henaji.pif”（文件属性为“系统、隐藏”），同时还会在“%SystemRoot%\fonts\”目录下释放恶意驱动程序“lstis.sys”。“U盘寄生虫”变种gjl运行时，会关闭“Windows防火墙”服务，并且通过文件映像劫持的方式致使一些安全软件无法正常启动运行。利用释放的恶意驱动程序关闭安全软件的自保护功能，从而轻易地便可终止其运行。篡改注册表键值，致使某些安全软件的监控被关闭，从而严重地降低了被感染系统的安全性。“U盘寄生虫”变种gjl会在被感染计算机系统中的所有分区根目录下创建“autorun.inf”（自动播放配置文件）和蠕虫主程序文件“JO.PIF”，以此实现双击盘符后激活蠕虫，从而达到了利用U盘、移动硬盘、SD卡等移动存储设备进行自我传播的目的，给被感染计算机用户造成了更多的威胁。“U盘寄生虫”变种gjl还会在被感染计算机系统的后台连接骇客指定的远程服务器站点“http://f.wu*8.com/”，获取恶意程序下载列表“tt.txt”，然后在被感染计算机上下载该文件中所指定的恶意程序并自动调用运行。其中，所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，致使用户可能遭受更多的侵害。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、江民杀毒软件增强虚拟机脱壳技术，能够对各种主流壳以及疑难的“花指令壳”、“生僻壳”病毒进行脱壳扫描，有效清除“壳病毒”。
    4、开启江民杀毒软件的系统监控功能，该功能可对病毒试图下载恶意程序、强行篡改系统时间、注入进程和调用其它恶意程序等行为进行监控并自动干预、处理，有效地遏制了未知病毒对系统所造成的干扰和破坏，更大程度的提高了计算机对于未知病毒的防范能力。
    5、江民防马墙，能够第一时间发现和阻止带有木马病毒的恶意网页，可以自动搜集恶意网址并加入特征库，阻止了网页木马的传播，有效地保障了用户的上网安全。
    6、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。
    7、江民杀毒软件新增强大的启发式扫描，能够启发扫描90％以上的未知病毒。
    8、尽量不要以双击盘符的方式访问硬盘或移动存储设备的分区，而是通过资源管理器中左侧的“树形目录”或在地址栏中输入盘符的方式进行访问，从而避免计算机病毒利用系统自动运行特性进行感染和传播。
    9、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://pay.jiangmin.com/online/jiangmin/kvkillonline.aspx

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。