江民公布“密码7005”最新变种技术报告
2005-02-26 11:13
375 查看
病毒名称:密码7005(Trojan/PSW.Mir7005.aw)
病毒类型:木马
病毒大小:69196字节,47616字节,67072字节
传播方式:网络
危害等级:★★
2004年7月6日,江民反病毒中心率先截获“密码7005”木马病毒的最新变种(Trojan/PSW.Mir7005.aw)。该病毒运用键盘和鼠标挂钩技术窃取传奇游戏帐号、密码等信息,通过电子邮件发送给病毒作者。同时还会终止多种其他传奇游戏木马的进程。
近几个月来,盗窃网络游戏密码的病毒日益猖獗,各种木马病毒都频繁推出变种,更新技术,企图躲避杀毒软件的追杀。而病毒作者之间由于利益冲突也存在着尖锐的竞争关系。此次,“密码7005” 采用了直接杀掉同类木马的极端做法,标志着国内木马作者们陷入了互相火并的恶性竞争。有可能重蹈“雏鹰”和“网络天空”在今年上半年进行病毒大赛的覆辙。
江民公司提醒广大用户,要及时升级病毒库,上网时开启KV的实时监控,把您的私密信息加入KV的隐私保护功能,以免成为各种木马病毒的受害者。
“密码7005”具体技术特征如下:
1. 病毒启动后,首先查找类名和标题具有下列特征的窗口,一旦发现就将其进程强行结束。
"#32770", "执行者5.16(独立版)"
"TIntrenat", "intrenat"
"TNaNaDE", "Form1"
"TZhangyongPwS3", "Windows IDE"
"MyClass", "!@#$cjt%^&*"
如果用户机器已经感染了“执行者”、“传奇猎手”、“海航大盗”、“密码张”、“传奇2终结者”、“传奇天使”等传奇木马病毒,这些病毒进程将会被“密码7005”终止。
2. 在用户计算机中创建以下文件:
%SystemDir%\exp1orer.exe, 69196字节,病毒自身
%SystemDir%\inetapi32.dll, 47616字节,鼠标键盘挂钩模块
%SystemDir%\inetapi64.dll, 67072字节,启动模块
%WinDir%\mfcd3o.dll, 69196字节,病毒自身。
3. 把inetapi64.dll注册成为IE组件,这样每次系统启动时,病毒模块inetapi64.dll都会被自动加载。该模块负责启动病毒主程序exp1orer.exe。
4. 病毒主程序通过inetapi32.dll安装键盘和鼠标挂钩,窃取用户对传奇游戏窗口的键盘和鼠标操作。主程序和挂钩模块通过共享内存传递信息,主程序每隔1分钟把窃取的游戏帐号、密码和装备等信息通过电子邮件发送给病毒作者。
江民公司提醒广大用户,及时升级病毒库,上网时开启KV的实时监控,把您的私密信息加入KV的隐私保护功能,以免成为各种木马病毒的受害者。针对该病毒,江民公司已经在第一时间升级。请KV用户立即升级到7月6日病毒库,即可全面防杀该病毒。
病毒类型:木马
病毒大小:69196字节,47616字节,67072字节
传播方式:网络
危害等级:★★
2004年7月6日,江民反病毒中心率先截获“密码7005”木马病毒的最新变种(Trojan/PSW.Mir7005.aw)。该病毒运用键盘和鼠标挂钩技术窃取传奇游戏帐号、密码等信息,通过电子邮件发送给病毒作者。同时还会终止多种其他传奇游戏木马的进程。
近几个月来,盗窃网络游戏密码的病毒日益猖獗,各种木马病毒都频繁推出变种,更新技术,企图躲避杀毒软件的追杀。而病毒作者之间由于利益冲突也存在着尖锐的竞争关系。此次,“密码7005” 采用了直接杀掉同类木马的极端做法,标志着国内木马作者们陷入了互相火并的恶性竞争。有可能重蹈“雏鹰”和“网络天空”在今年上半年进行病毒大赛的覆辙。
江民公司提醒广大用户,要及时升级病毒库,上网时开启KV的实时监控,把您的私密信息加入KV的隐私保护功能,以免成为各种木马病毒的受害者。
“密码7005”具体技术特征如下:
1. 病毒启动后,首先查找类名和标题具有下列特征的窗口,一旦发现就将其进程强行结束。
"#32770", "执行者5.16(独立版)"
"TIntrenat", "intrenat"
"TNaNaDE", "Form1"
"TZhangyongPwS3", "Windows IDE"
"MyClass", "!@#$cjt%^&*"
如果用户机器已经感染了“执行者”、“传奇猎手”、“海航大盗”、“密码张”、“传奇2终结者”、“传奇天使”等传奇木马病毒,这些病毒进程将会被“密码7005”终止。
2. 在用户计算机中创建以下文件:
%SystemDir%\exp1orer.exe, 69196字节,病毒自身
%SystemDir%\inetapi32.dll, 47616字节,鼠标键盘挂钩模块
%SystemDir%\inetapi64.dll, 67072字节,启动模块
%WinDir%\mfcd3o.dll, 69196字节,病毒自身。
3. 把inetapi64.dll注册成为IE组件,这样每次系统启动时,病毒模块inetapi64.dll都会被自动加载。该模块负责启动病毒主程序exp1orer.exe。
4. 病毒主程序通过inetapi32.dll安装键盘和鼠标挂钩,窃取用户对传奇游戏窗口的键盘和鼠标操作。主程序和挂钩模块通过共享内存传递信息,主程序每隔1分钟把窃取的游戏帐号、密码和装备等信息通过电子邮件发送给病毒作者。
江民公司提醒广大用户,及时升级病毒库,上网时开启KV的实时监控,把您的私密信息加入KV的隐私保护功能,以免成为各种木马病毒的受害者。针对该病毒,江民公司已经在第一时间升级。请KV用户立即升级到7月6日病毒库,即可全面防杀该病毒。
相关文章推荐
- 谷歌公布最新政府透明度报告
- 英伟达最新公布的眼球追踪技术
- Chromium Blink项目最新技术报告和下一步发展方向
- Phrack最新公布的内核态RootKit的技术细节
- 计算机领域最新技术报告:云数据库
- Phrack最新公布的内核态RootKit的技术细节[转]
- 2017最新小程序发展报告公布
- 最新 Android 版本份额报告公布
- Gartner公布2012新兴技术炒作周期报告:“引爆点”技术引领未来
- 江民“网页收割者”病毒技术分析报告
- Facebook 公布最新黑客攻击防御技术细节
- 破坏力超“熊猫烧香” 江民发布“小浩”蠕虫技术报告
- Phrack最新公布的内核态RootKit的技术细节
- Phrack最新公布的内核态RootKit的技术细节(e文)
- 微软最新公布的14000页技术文档下载地址
- 大学生实习就业调研报告之二 - 共性问题与企业技术&管理者探讨
- 技术文章 | CVE-2017-12615/CVE-2017-12616:Tomcat信息泄漏和远程代码执行漏洞分析报告
- eBay公司公布的SOA开源平台Turmeric的最新版1.0.0 GA在2011-05-27...
- 百度公布的2013-2014中国网站运营发展趋势报告