9月3日病毒播报：木马修改属性看齐系统安装日

在今天的病毒里，“恶推客”变种gtx和“霸族”变种miy值得关注。

英文名称：Trojan/Pincav.gtx

中文名称：“恶推客”变种gtx

病毒长度：30728字节

病毒类型：木马

危险级别：★★

影响平台：Win 9X/ME/NT/2000/XP/2003

MD5 校验：5c43db354d80e4b4a854c52deedadcd8

特征描述：

Trojan/Pincav.gtx“恶推客”变种gtx是“恶推客”家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写，经过加壳保护处理。“恶推客”变种gtx运行后，会在被感染系统的“%USERPROFILE%\\Local Settings\\Temp\\”文件夹下释放恶意组件“kb4843.bin”，同时会将其复制到“%SystemRoot%\\system\\”文件夹下重新命名为“kb4843.cpl”。将被感染系统“%SystemRoot%\\system32\\”文件夹下的“ddraw.dll”复制为“ddraw.dll.dat”，并且向其中添加恶意代码。之后其会将“ddraw.dll”重新命名为“ddraw.dll.RBKG”，然后再将“ddraw.dll.dat”分别复制到“%SystemRoot%\\system\\”和“%SystemRoot%\\system32\\dllcache\\”文件夹下，重新命名为“ddraw.dll”。这些操作完成后，原病毒程序会释放批处理文件“tempVideo.bat”并调用运行，以此消除痕迹。“恶推客”变种gtx是一个专门盗取“问道Online”网络游戏会员账号的木马程序，其会在被感染系统的后台秘密监视系统中运行的所有应用程序的窗口标题，之后利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息，并在后台将窃得的信息发送到骇客指定的远程站点上（地址加密存放），致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家造成了不同程度的损失。

英文名称：Trojan/Buzus.miy

中文名称：“霸族”变种miy

病毒长度：902144字节

病毒类型：木马

危险级别：★★

影响平台：Win 9X/ME/NT/2000/XP/2003

MD5 校验：103c7ae4df1eeb65f6c7fa0730ad14bd

特征描述：

Trojan/Buzus.miy“霸族”变种miy是“霸族”家族中的最新成员之一，采用“Borland Delphi 6.0 - 7.0”编写。“霸族”变种miy运行后，会自我复制到被感染系统的“%SystemRoot%\\system32\\”文件夹下，重新命名为“bwysia.exe”。设置文件的“创建时间”和“修改时间”为系统的安装日期，以此迷惑用户，从而达到更好的隐藏效果。同时，还会将上述文件的属性设置为“系统、隐藏、只读、存档”。“霸族”变种miy运行后，会不断尝试与客户端（IP地址为：94.23.*.99:6667）进行连接，如果连接成功，则被感染的计算机就会沦为傀儡主机。骇客可以向被感染的计算机发送恶意指令，从而执行任意控制操作（其中包括：文件管理、进程控制、注册表操作、服务管理、远程命令执行、屏幕监控、键盘监听、鼠标控制、音频监控、视频监控等），会给用户的信息安全构成严重的威胁。