8月2日病毒播报：“问道”玩家警惕盗号木马

在今天的病毒中“密匪”变种hj和“苍蝇贼”变种ail值得关注。

英文名称：Trojan.PSW/Frethoq.hj

中文名称：“密匪”变种hj

病毒长度：15508字节

病毒类型：

危险级别：★

影响平台：Win 9X/ME/NT/2000/XP/2003

MD5 校验：698a3cea5a76d41ab4b4b1853b60f1d7

特征描述：

Trojan.PSW/Frethoq.hj“密匪”变种hj是“密匪”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。“密匪”变种hj运行后，会将被感染系统“%SystemRoot%\\system32\\”文件夹下的系统文件“ksuser.dll”重新命名为“aksuser.dll”，然后在该文件夹下释放恶意DLL组件“asktao.mod.dll”和“ksuser.dll”，并且会将“ksuser.dll”复制到“%SystemRoot%\\system32\\dllcache\\”文件夹下。其还会在“%USERPROFILE%\\Local Settings\\Temp\\”文件夹下释放恶意DLL组件“5cZN91.dll”和恶意程序“5cZN91.exe”。“密匪”变种hj运行时，如果发现指定安全软件的进程存在便会自动退出。“密匪”变种hj是一个专门盗取“问道”网络游戏会员账号的木马程序，其会在被感染计算机的后台秘密监视用户系统中运行的所有应用程序的窗口标题。一旦发现指定游戏正在运行，便会利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息，并在后台将窃得的信息发送到骇客指定的远程站点上（地址加密存放），致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家造成了不同程度的损失。

英文名称：TrojanDownloader.FlyStudio.ail

中文名称：“苍蝇贼”变种ail

病毒长度：1249583字节

病毒类型：木马下载器

危险级别：★

影响平台：Win 9X/ME/NT/2000/XP/2003/VISTA

MD5 校验：f6876a735bd7a88ce7d5c4619b269f03

特征描述：

TrojanDownloader.FlyStudio.ail“苍蝇贼”变种ail是“苍蝇贼”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。“苍蝇贼”变种ail运行后，会自我复制到被感染系统的“%SystemRoot%\\system32\\32FD6F\\”文件夹下，重新命名为“051118.exe”。还会在被感染系统的“%USERPROFILE%\\Local Settings\\Temp\\E_4\\”文件夹下和“%SystemRoot%\\system32\\8B5D5F\\”文件夹下释放恶意DLL组件“internet.fne”、“eAPI.fne”、“dp1.fne”等。其会收集被感染系统的相关信息，例如：操作系统类型，计算机名称，硬盘分区情况，系统目录，处理器类型等，然后将收集到的信息发送到骇客指定的站点上。其还会在被感染系统的后台连接骇客指定的远程站点，下载恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，会给用户造成不同程度的威胁。