特征描述：
Trojan/PSW.Magania.aarw"瑪格尼亞"變種aarw是"瑪格尼亞"家族中的最新成員之一，采用"Microsoft Visual C++ 6.0"編寫(xiě)，是一個(gè)由其它惡意程序釋放出來(lái)的DLL功能組件，經(jīng)過(guò)加殼保護(hù)處理。"瑪格尼亞"變種aarw運(yùn)行后，會(huì)在被感染系統(tǒng)的"%SystemRoot%Downloaded Program Files"文件夾下讀取保存著加密收信地址的配置文件"hyxqXj4ENYN8PTavg.Ttf"。遍歷當(dāng)前系統(tǒng)中所有正在運(yùn)行的進(jìn)程，一旦發(fā)現(xiàn)指定的安全軟件存在便會(huì)嘗試將其結(jié)束，從而達(dá)到自我保護(hù)的目的。"瑪格尼亞"變種aarw是一個(gè)專門(mén)盜取"問(wèn)道"、"魔獸世界"等網(wǎng)絡(luò)游戲會(huì)員賬號(hào)的木馬程序，運(yùn)行后會(huì)首先確認(rèn)自身是否已經(jīng)插入到桌面進(jìn)程"explorer.exe"中。通過(guò)安裝消息鉤子等，監(jiān)視當(dāng)前的系統(tǒng)狀態(tài)，伺機(jī)進(jìn)行惡意操作。插入游戲進(jìn)程"asktao.mod"、"wow.exe"等，利用消息鉤子、內(nèi)存截取等技術(shù)盜取網(wǎng)絡(luò)游戲玩家的游戲賬號(hào)、游戲密碼、所在區(qū)服、角色等級(jí)等信息，并在后臺(tái)將竊得的信息發(fā)送到駭客指定的收信頁(yè)面"http://203.yx2009123*.cn:37898/203/lm310y@tq!8t3fr$/w$3qt!g@ro4.asp"等上（地址加密存放），致使網(wǎng)絡(luò)游戲玩家的游戲賬號(hào)、裝備、物品、金錢(qián)等丟失，給游戲玩家造成了不同程度的損失。另外，"瑪格尼亞"變種aarw會(huì)修改注冊(cè)表鍵"ShellExecuteHooks"的鍵值，以此實(shí)現(xiàn)開(kāi)機(jī)自動(dòng)運(yùn)行。

英文名稱：Trojan/AntiDebug.it
中文名稱："反殺鬼"變種it
病毒長(zhǎng)度：87752字節(jié)
病毒類型：木馬
危險(xiǎn)級(jí)別：★★
影響平臺(tái)：Win 9X/ME/NT/2000/XP/2003
MD5 校驗(yàn)：84582536e15ff0958a922bedb90ae048

特征描述：
Trojan/AntiDebug.it"反殺鬼"變種it是"反殺鬼"家族中的最新成員之一，經(jīng)過(guò)加殼保護(hù)處理。"反殺鬼"變種it運(yùn)行后，會(huì)在被感染系統(tǒng)的"%SystemRoot%system32"文件夾下釋放經(jīng)過(guò)加殼保護(hù)的惡意DLL組件"R*m*t*C.dll"并調(diào)用運(yùn)行，之后原程序會(huì)將自我刪除，以此消除痕跡。"反殺鬼"變種it釋放的惡意dll文件會(huì)通過(guò)"svchost.exe -k krnlsrvc"的方式調(diào)用運(yùn)行，運(yùn)行后不斷嘗試與控制端（地址為：xijunq.332*.org:8000）進(jìn)行連接。一旦連接成功，則被感染的計(jì)算機(jī)就會(huì)淪為傀儡主機(jī)。駭客可以向被感染的計(jì)算機(jī)發(fā)送惡意指令，從而執(zhí)行任意控制操作（其中包括文件管理、進(jìn)程控制、注冊(cè)表操作、服務(wù)管理、遠(yuǎn)程命令執(zhí)行、屏幕監(jiān)控、鍵盤(pán)監(jiān)聽(tīng)、鼠標(biāo)控制、音頻監(jiān)控、視頻監(jiān)控等），給用戶的信息安全構(gòu)成了嚴(yán)重的威脅。另外，"反殺鬼"變種it會(huì)注冊(cè)名為"Mdfaecca"的系統(tǒng)服務(wù)，以此實(shí)現(xiàn)開(kāi)機(jī)自啟。

kuangmin