“黑客遥控器9728”(Win32.Hack.PcClient.9728),这是一个黑客程序变种。病毒运行后释放随机命名的病毒文件至系统文件夹,并
尝试获取用户代理服务器地址、后台创建多个线程与黑客指定的远程服务器通讯,使用户的计算机完全处于黑客的控制之下。
“网游盗号木马14452”(Win32.Troj.AgentT.fm.14452),这是一个盗号木马,它会盗取计算机上《武林外传》、《完美世界》、《诛仙》等进程名为 ElementClient.exe 的网络游戏的帐号信息。
一、“黑客遥控器9728”(Win32.Hack.PcClient.9728) 威胁级别:★
病毒进入系统后,在系统盘根目录下释放出5个病毒文件,分别为%WINDOWS%下的0004bb58.inf和另外三个随机命名的.dll、.KEY、.sco格式文件,以及%WINDOWS%\drivers\目录下的一个.sys文件。然后,它修改注册表系统项,将自己的相关数据加入其中,使自己达到随系统启动而启动之目的。
为了避免用户的发现,病毒会将自己伪装为名为“rtltvb”的WINDOWS系统的服务进程,如果用户注意检查其属性,可发现它的描述为:“Microsoft .NET Framework TPM”,路径为“%sys32dir%\svchost.exe -k rtltvb”,伪装得还真像!
如果得以顺利运行,病毒就会读取注册表中关于代理服务器的数据,从而掌握用户的代理服务器地址。然后,它尝试在后台悄悄创建多个线程,与黑客指定的远程服务器2*1.2*7.17.2*6建立通讯,随时等待接受黑客的指令,使得用户的计算机完全处于黑客的控制之下。
二、“网游盗号木马14452”(Win32.Troj.AgentT.fm.14452) 威胁级别:★
病毒进入用户的电脑系统后,在系统盘中释放出4个病毒文件,分别为%WINDOWS%\system32\目录下的avwgein.dll、avwgemn.dll、avwgest.exe,以及%WINDOWS%\Fonts\目录下的msguasd.fon。随后,它修改注册表,将自己相关数据写入其中,达到随系统启动而启动之目的。
当开始运行后,病毒首先会在系统盘中搜索windows系统的第KB908531项安全补丁文件verclsid.exe,发现后立刻将它删除。接着,病毒不断注入当前已启动的进程中,并自动判断注入的进程是否为ElementClient.exe这一项,如果是,就立刻展开监控程序,截获用户的帐号和密码等数据。
顺利得手后,病毒就在用户无法察觉的情况下建立远程连接,把盗取所得的帐号信息发送至http:/ /www.3**678.cn/x**q/97wg/post这个由木马种植者指定的接收网址,给用户造成虚拟财产的损失。由于ElementClient.exe这一名称被《武林外传》、《完美世界》、《诛仙》等多款网络游戏采用,因此,该病毒的影响面积也较大。
