【賽迪網(wǎng)-IT技術(shù)報(bào)道】在今天的病毒中Trojan/PSW.Magania.swr“瑪格尼亞”變種swr和Trojan/Sasfis.pp“薩斯風(fēng)”變種pp值得關(guān)注。

    英文名稱：Trojan/PSW.Magania.swr

    中文名稱：“瑪格尼亞”變種swr

    病毒長(zhǎng)度：18528字節(jié)

    病毒類型：盜號(hào)木馬

    危險(xiǎn)級(jí)別：★

    影響平臺(tái)：Win 9X/ME/NT/2000/XP/2003

    MD5 校驗(yàn)：3d4b9eb16cc38653e03e94ae61ad9741

    特征描述：

    Trojan/PSW.Magania.swr“瑪格尼亞”變種swr是“瑪格尼亞”盜號(hào)木馬家族中的最新成員之一，采用“Microsoft Visual C++ 6.0”編寫，是一個(gè)由其它惡意程序釋放出來的DLL功能組件，經(jīng)過加殼保護(hù)處理?！艾敻衲醽啞弊兎Nswr運(yùn)行后，會(huì)讀取被感染系統(tǒng)“%SystemRoot%\fonts\”目錄下的加密配置文件“6e6EUdxVeWUYJynN.Ttf”，其中保存著收信地址。遍歷系統(tǒng)中所有正在運(yùn)行的進(jìn)程，一旦發(fā)現(xiàn)指定的安全軟件存在便會(huì)嘗試將其結(jié)束，以此達(dá)到自我保護(hù)的目的?！艾敻衲醽啞弊兎Nswr是一個(gè)專門盜取“完美世界 Online”、“誅仙”、“武林外傳”、“完美國際”等網(wǎng)絡(luò)游戲會(huì)員賬號(hào)的木馬程序，運(yùn)行后會(huì)首先確認(rèn)自身是否已經(jīng)插入到桌面進(jìn)程“explorer.exe”中。安裝消息鉤子，監(jiān)視當(dāng)前的系統(tǒng)狀態(tài)，伺機(jī)進(jìn)行惡意操作。插入指定游戲進(jìn)程“elementclient.exe”中，利用消息鉤子、內(nèi)存截取等技術(shù)盜取網(wǎng)絡(luò)游戲玩家的游戲賬號(hào)、游戲密碼、所在區(qū)服、角色等級(jí)等信息，并在后臺(tái)將竊得的信息發(fā)送到駭客指定的收信頁面“http://zxzong.winneris20*9.com:8080/zxfen/jack/post.asp”等上（地址加密存放），致使網(wǎng)絡(luò)游戲玩家的游戲賬號(hào)、裝備、物品、金錢等丟失，給游戲玩家造成了不同程度的損失。另外，“瑪格尼亞”變種swr會(huì)修改注冊(cè)表鍵“ShellExecuteHooks”，以此實(shí)現(xiàn)開機(jī)自動(dòng)運(yùn)行。

    英文名稱：Trojan/Sasfis.pp

    中文名稱：“薩斯風(fēng)”變種pp

    病毒長(zhǎng)度：44940字節(jié)

    病毒類型：木馬

    危險(xiǎn)級(jí)別：★

    影響平臺(tái)：Win 9X/ME/NT/2000/XP/2003

    MD5 校驗(yàn)：ae142ce3b35cc04f5648a0c17c37ea30

    特征描述：

    Trojan/Sasfis.pp“薩斯風(fēng)”變種pp是“薩斯風(fēng)”家族中的最新成員之一，采用“Borland Delphi 6.0 - 7.0”編寫。“薩斯風(fēng)”變種pp運(yùn)行后，會(huì)自我復(fù)制到被感染系統(tǒng)的“C:\Program Files\Common Files\”文件夾下，重新命名為“svchost.exe”。創(chuàng)建一個(gè)新的“mstsc.exe”進(jìn)程（遠(yuǎn)程桌面），并將自身代碼注入其內(nèi)存空間中隱秘運(yùn)行。在后臺(tái)執(zhí)行惡意操作，隱藏自我，防止被輕易地查殺。在被感染系統(tǒng)的后臺(tái)連接駭客指定的遠(yuǎn)程站點(diǎn)“http://lgpk.776*.org:8080/”，下載惡意程序“Dowa.exe”、“Dowb.exe”和“Dowc.exe”并自動(dòng)調(diào)用運(yùn)行。其中，所下載的惡意程序可能為網(wǎng)絡(luò)游戲盜號(hào)木馬、遠(yuǎn)程控制后門或惡意廣告程序（流氓軟件）等，致使用戶面臨更多的威脅。另外，“薩斯風(fēng)”變種pp會(huì)在被感染計(jì)算機(jī)中注冊(cè)名為“Schliesst alle Ports, einige Dienste bleiben unveraendert.”的系統(tǒng)服務(wù)，以此實(shí)現(xiàn)開機(jī)自啟。