“感染型下载器597”( Win32.Downloader.e.597)
病毒是一个
木马下载器。它利用感染正常文件进行传播,当用户运行被感染文件时,病毒就开始运行,从网上下载木马到用户电脑中运行。
“奇迹混乱盗号者”(Win32.Troj.OnlineGameT.am.107664)是一个针对网络游戏《奇迹世界》的盗号木马。它会释放出dll文件及病毒驱动文件,执行盗号。并且,该病毒含有大量垃圾指令,试图干扰资深用户和反病毒厂商对它进行分析。
一、“感染型下载器597”( Win32.Downloader.e.597) 威胁级别:★
擅长手动查杀病毒的用户,如果注意检查被感染文件,会发现它新增一个.WIN的节表,并且文件体积有所增大。
病毒感染了文件后,将正常的文件入口改到新增加的节表中,这样,当用户运行文件,便会先激活病毒代码,然后再跳回到正常文件的入口地址。其结果就是在用户的不知不觉中,病毒已在系统中跑了起来。
如果开始运行,病毒会连接病毒作者指定的地址http://ttt.wo**on.cn/main.exe,远程下载一个病毒文件,并将其藏在系统盘的%Program Files%\Common Files\目录下,命名为WIN.exe并执行。经毒霸反病毒工程师分析,该文件为一个敏感信息后门程序。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅
二、“奇迹混乱盗号者107664”(Win32.Troj.OnlineGameT.am.107664) 威胁级别:★★
这个盗号木马的作案目标是《奇迹世界》,它利用强迫用户重新登录的方法来盗取帐号和密码。在进入电脑后,它就释放出病毒文件hjiq.dll,替换掉%WINDOWS%\system32\目录下的同名系统文件。并释放出两个自己的病毒驱动文件,分别为%WINDOWS%\system32\目录下的msepion.sys及%WINDOWS%\system32\drivers\目录下的msyecp.sys。
当完成以上的病毒释放,病毒就可以顺利绕开一些安全软件的防护,遍历系统当前活动进程,找到《奇迹世界》的进程sungame.exe,将其强制结束,迫使用户重新登录。同时将DLL文件注入进程,趁机记录下用户输入的帐号和密码,实现盗号。
运行完毕后,病毒还会执行自我删除程序,删掉自己的原始文件,让用户难以发现系统中出现了多余的东西。此外,毒霸反病毒工程师在对该毒进行分析时,发现其中含有大量垃圾指令,看来,病毒作者是希望以此干扰别人对该毒的查杀。