Simone
Win32/Infectrpcss.a“RPCSS毒手”变种a和Trojan/Regrun.fg“注册表蛀虫”变种fg值得关注。 英文名称:Win32/Infectrpcss.a 中文名称:“RPCSS毒手”变种a 病毒长度:34304字节 病毒类型:木马 危险级别:★★ 影响平台:Win 9X/ME/NT/2000/XP/2003 Win32/Infectrpcss.a“RPCSS毒手”变种a是“RPCSS毒手”木马家族中的最新成员之一,采用高级语言编写,并且经过加壳保护处理。该病毒是由其它恶意程序释放出来的DLL功能组件,一般会被插入到“explorer.exe”、“csrss.exe”、“svchost.exe”等系统进程以及几乎所有用户级权限的进程中加载运行,并在被感染计算机系统的后台执行恶意操作,隐藏自我,防止被用户发现、被安全软件查杀。“RPCSS毒手”变种a运行后,会自我复制到被感染计算机系统的“%SystemRoot%\system32\”目录下,重新命名为“csrss.dll”,并释放病毒组件“sh01008.dll”到“%SystemRoot%\system32\”目录下。“RPCSS毒手”变种a是一个专门盗取“完美世界Online”、“诛仙Online”等网络游戏会员账号的木马程序,会在被感染计算机的后台秘密监视用户系统中所运行着的所有应用程序窗口标题,然后利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息,并在后台将窃取到的玩家机密信息发送到骇客指定的远程服务器站点上(地址加密存放),致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失,给游戏玩家造成不同程度的损失。同时,“RPCSS毒手”变种a还具有窃取玩家游戏账号密码保护的功能。因此,当游戏玩家发现自己的游戏账号被盗时,千万不要在当前被感染计算机上登陆该网络游戏的官方网站去找回游戏密码,否则会连同密码保护资料一同被骇客所盗取,给游戏玩家造成更加严重的损失。“RPCSS毒手”变种a还会利用域名映像劫持技术在被感染计算机的后台强行篡改系统Hosts文件,屏蔽某些网络游戏的官方站点,从而阻止了用户对这些网络游戏网站的访问,达到了用户在账号失窃后无法立即取回密码的目的。“RPCSS毒手”变种a还会利用进程守护技术来实现对自我的保护。该木马通过替换系统文件“rpcss.dll”的方式来实现开机后自动运行。如果安全软件直接查杀掉被木马替换的卖轮“rpcss.dll”文件的话,将会导致被感染计算机出现无法连接网络、系统复制(粘贴)功能失效、桌面程序“explorer.exe”启动缓慢等异常现象,严重地影响了用户对计算机系统的正常使用。 英文名称:Trojan/Regrun.fg 中文名称:“注册表蛀虫”变种fg 病毒长度:176640字节 病毒类型:木马 危险级别:★★ 影响平台:Win 9X/ME/NT/2000/XP/2003 Trojan/Regrun.fg“注册表蛀虫”变种fg是“注册表蛀虫”木马家族中的最新成员之一,采用“Borland Delphi 6.0 - 7.0”编写,并且经过加壳保护处理。“注册表蛀虫”变种fg运行后,会自我复制到被感染计算机系统的“%SystemRoot%\”目录下,重新命名为“server.exe”,将创建时间修改为系统安装日期,并将该文件与原文件设置为系统、隐藏等属性。强行篡改注册表相关键值,对被感染计算机系统中的“显示系统隐藏文件”、“安全模式”、“系统还原”等功能进行破坏或关闭,从不同程度上干扰了被感染计算机系统的正常运行。“注册表蛀虫”变种fg运行时,会释放恶意DLL组件(KV2009检测为“Worm/AutoRun.bsv”)至内存指定区域中,随后强行关闭桌面进程“explorer.exe”,运行自身的副本后再将释放的DLL病毒文件注入到新启动的“explorer.exe”进程之中加载运行。在后台尝试连接骇客指定的远程站中庆信点“one-dream.g**p.net”,并将窃取到的用户私密信息发送到其中,使得被感染计算机用户的个人隐私受到了不同程差前度的侵害。另外,“注册表蛀虫”变种fg会通过在系统注册表启动项和其它项目中添加键值的方式来实现木马的开机自启动。
