8月18日病毒播报：木马盗取大唐无双账号

在今天的病毒里，“毒素”变种k和“绑架犯”变种hh值得关注。

英文名称：Trojan/PSW.Element.k

中文名称：“毒素”变种k

病毒长度：17448字节

病毒类型：盗号木马

危险级别：★

影响平台：Win 9X/ME/NT/2000/XP/2003

MD5 校验：090df872aa3ea0870d61653c5c7aea5b

特征描述：

Trojan/PSW.Element.k“毒素”变种k是“毒素”盗号木马家族中的最新成员之一，采用高级语言编写。“毒素”变种k是一个盗取“大唐无双”网络游戏帐号的木马程序，运行后会在被感染系统的“%USERPROFILE%\\Local Settings\\Temp\\”文件夹下释放恶意DLL组件“d05d.dll”和“9475390d05.dll”，并将以上文件的属性设置为“系统、隐藏”。释放完成后，原病毒程序会将自身删除，以此消除痕迹。“毒素”变种k运行时，会在被感染系统的后台秘密监视用户运行的所有应用程序的窗口标题，然后利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏帐号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息资料，并在后台将窃得的信息发送到骇客指定的远程站点上，致使网络游戏玩家的游戏帐号、装备物品、金钱等丢失，会给游戏玩家带来不同程度的损失。另外，“毒素”变种k会通过在被感染系统注册表中添加键值的方式实现开机自启。

英文名称：Trojan/PSW.Bjlog.hh

中文名称：“绑架犯”变种hh

病毒长度：192512字节

病毒类型：盗号木马

危险级别：★

影响平台：Win 9X/ME/NT/2000/XP/2003

MD5 校验：2e8311a656d9b1545495e1b3aad481de

特征描述：

Trojan/PSW.Bjlog.hh“绑架犯”变种hh是“绑架犯”家族中的最新成员之一，采用“Microsoft Visual C++ 5.0”编写。“绑架犯”变种hh运行后，会在被感染系统的“%USERPROFILE%\\Local Settings\\Temp\\”文件夹下释放恶意DLL组件“ldubuqudgf.log”，然后会将其移动到“%SystemRoot%\\system32\\”文件夹下，重新命名为“tsblo.lib”。“绑架犯”变种hh运行时，会将恶意代码注入到系统进程“svchost.exe”的内存空间中隐秘运行。不断尝试与控制端（IP地址为：122.224.*.247:9966）进行连接，一旦连接成功，则被感染的计算机就会沦为傀儡主机。骇客可以向被感染的计算机发送恶意指令，从而执行任意控制操作（其中包括：文件管理、进程控制、注册表操作、服务管理、远程命令执行、屏幕监控、键盘监听、鼠标控制、音频监控、视频监控等），会给用户的信息安全造成严重的威胁。另外，“绑架犯”变种hh会在被感染计算机中注册名为“ias”的系统服务，以此实现开机自动运行。