Trojan.PSW/Frethoq.hj“密匪”变种hj和“苍蝇贼”变种ail打赏

首先要声明报告是比较过时的,此报告于去年的8月初曾在"Tosec"就已经报告过,但是小子今天转载到了自己的博客,当然有小子的用意,希望这份报告能引起重视和给喜欢研究安全事宜的朋友一些启示! 病毒报告详细内容如下:"

英文名称:Trojan.PSW/Frethoq.hj
中文名称:“密匪”变种hj
病毒长度:15508字节
病毒类型:
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:698a3cea5a76d41ab4b4b1853b60f1d7
特征描述:
Trojan.PSW/Frethoq.hj“密匪”变种hj是“密匪”家族中的最新成员之一,采用高级语言编写,经过加壳保护处理。“密匪”变种hj运行后,会将被感染系统“%SystemRoot%\system32\”文件夹下的系统文件“ksuser.dll”重新命名为“aksuser.dll”,然后在该文件夹下释放恶意DLL组件“asktao.mod.dll”和“ksuser.dll”,并且会将“ksuser.dll”复制到“%SystemRoot%\system32\dllcache\”文件夹下。其还会在“%USERPROFILE%\Local Settings\Temp\”文件夹下释放恶意DLL组件“5cZN91.dll”和恶意程序“5cZN91.exe”。“密匪”变种hj运行时,如果发现指定安全软件的进程存在便会自动退出。“密匪”变种hj是一个专门盗取“问道”网络游戏会员账号的木马程序,其会在被感染计算机的后台秘密监视用户系统中运行的所有应用程序的窗口标题。一旦发现指定游戏正在运行,便会利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息,并在后台将窃得的信息发送到骇客指定的远程站点上(地址加密存放),致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失,给游戏玩家造成了不同程度的损失。

英文名称:TrojanDownloader.FlyStudio.ail
中文名称:“苍蝇贼”变种ail
病毒长度:1249583字节
病毒类型:木马下载器
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003/VISTA
MD5 校验:f6876a735bd7a88ce7d5c4619b269f03
特征描述:
TrojanDownloader.FlyStudio.ail“苍蝇贼”变种ail是“苍蝇贼”家族中的最新成员之一,采用高级语言编写,经过加壳保护处理。“苍蝇贼”变种ail运行后,会自我复制到被感染系统的“%SystemRoot%\system32\32FD6F\”文件夹下,重新命名为“051118.exe”。还会在被感染系统的“%USERPROFILE%\Local Settings\Temp\E_4\”文件夹下和“%SystemRoot%\system32\8B5D5F\”文件夹下释放恶意DLL组件“internet.fne”、“eAPI.fne”、“dp1.fne”等。其会收集被感染系统的相关信息,例如:操作系统类型,计算机名称,硬盘分区情况,系统目录,处理器类型等,然后将收集到的信息发送到骇客指定的站点上。其还会在被感染系统的后台连接骇客指定的远程站点,下载恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,会给用户造成不同程度的威胁。

Trojan.PSW/Frethoq.hj“密匪”变种hj和“苍蝇贼”变种ail
文章《Trojan.PSW/Frethoq.hj“密匪”变种hj和“苍蝇贼”变种ail》二维码
  • 微信打赏
  • 支付宝打赏

已有2条评论

  1. 蛇精男美照

    [喂]

    2015-10-04 16:29 回复

(必填)

(必填)

(可选)