05月10日病毒播报：“毒素”变种cz和“苍蝇贼”变种

在今天的病毒中Trojan/PSW.Emelent.cz“毒素”变种cz和TrojanDownloader.FlyStudio.btn“苍蝇贼”变种btn值得关注。
英文名称：Trojan/PSW.Emelent.cz
中文名称：“毒素”变种cz
病毒长度：21904字节
病毒类型：盗号木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：88a722e769086a1714bccb13f50eefe1
特征描述：
    Trojan/PSW.Emelent.cz“毒素”变种cz是“毒素”家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写，经过加壳保护处理。“毒素”变种cz运行后，会在被感染计算机内查找注册表：“HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache”下的键值是否含有“game.exe”、“patcher.exe”、“Patcher.exe”。在被感染系统的“%USERPROFILE%\Local Settings\Temp\”文件夹下释放恶意DLL组件“865968n28.dll”，文件属性设置为“系统、隐藏”。在“%USERPROFILE%\Local Settings\Temp\”文件夹下创建配置文件“mainlist.ini”。复制“%SystemRoot%\notepad.exe”并重新命名为“ctfmon.exe”。后台遍历当前系统正在运行的所有进程，如果发现某些指定的安全软件(卡巴斯基，瑞星，360，江民)存在，“毒素”变种cz便会尝试将其强行关闭，从而达到自我保护的目的。“毒素”变种cz是一个专门盗取网络游戏会员账号的盗号木马程序，其会在被感染系统的后台秘密监视系统所运行程序的窗口标题，一旦发现指定程序启动，便会利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息，并在后台将窃得的信息发送到骇客指定的站点（地址加密存放），致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家造成了不同程度的损失。“毒素”变种cz在运行完成后会将自身删除，从而达到消除痕迹的目的。

英文名称：TrojanDownloader.FlyStudio.btn
中文名称：“苍蝇贼”变种btn
病毒长度：1226730字节
病毒类型：木马下载器
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：c80459f1609a39a4b18d6142908ed82f
特征描述：
    TrojanDownloader.FlyStudio.btn“苍蝇贼”变种btn是“苍蝇贼”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。“苍蝇贼”变种btn运行后，会在被感染系统的“%USERPROFILE%\Local Settings\Temp\E_N4\”文件夹下释放由易语言编写的DLL组件“dp1.fne ”、“krnln.fnr”、“shell.fne”、“RegEx.fnr”、“cnvpe.fne”、“eAPI.fne”等，并复制到文件夹“%SystemRoot%\system32\C5C1C5\”下。自我复制到“%SystemRoot%\system32\A95693\”文件夹下，重新命名为“4DEF48.EXE”。同时创建2个空文件夹“0A80EA”和“7DD30F”，用于记录指定数据。“苍蝇贼”变种btn运行时，会在被感染系统的后台连接骇客指定的站点，获取恶意程序下载列表，下载指定的恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，致使用户面临更多的威胁。“苍蝇贼”变种btn会通过U盘进行自我传播。另外，其还会在被感染系统注册表启动项中添加键值、在“启动”文件夹中创建快捷方式“4DEF48.lnk”，以此实现自动运行。

标签分类：