病毒类型:木马
病毒大小:69196字节,47616字节,67072字节
传播方式:网络
危害等级:★★
2004年7月6日,江民反病毒中心率先截获“密码7005”木马病毒的最新变种(Trojan/PSW.Mir7005.aw)。该病毒运用键盘和鼠标挂钩技术窃取传奇游戏帐号、密码等信息,通过电子邮件发送给病毒作者。同时还会终止多种其他传奇游戏木马的进程。
近几个月来,盗窃网络游戏密码的病毒日益猖獗,各种木马病毒都频繁推出变种,更新技术,企图躲避杀毒软件的追杀。而病毒作者之间由于利益冲突也存在着尖锐的竞争关系。此次,“密码7005” 采用了直接杀掉同类木马的极端做法,标志着国内木马作者们陷入了互相火并的恶性竞争。有可能重蹈“雏鹰”和“网络天空”在今年上半年进行病毒大赛的覆辙。
江民公司提醒广大用户,要及时升级病毒库,上网时开启KV的实时监控,把您的私密信息加入KV的隐私保护功能,以免成为各种木马病毒的受害者。
“密码7005”具体技术特征如下:
1. 病毒启动后,首先查找类名和标题具有下列特征的窗口,一旦发现就将其进程强行结束。
"#32770", "执行者5.16(独立版)"
"TIntrenat", "intrenat"
"TNaNaDE", "Form1"
"TZhangyongPwS3", "Windows IDE"
"MyClass", "!@#$cjt%^&*"
如果用户机器已经感染了“执行者”、“传奇猎手”、“海航大盗”、“密码张”、“传奇2终结者”、“传奇天使”等传奇木马病毒,这些病毒进程将会被“密码7005”终止。
2. 在用户计算机中创建以下文件:
%SystemDir%\exp1orer.exe, 69196字节,病毒自身
%SystemDir%\inetapi32.dll, 47616字节,鼠标键盘挂钩模块
%SystemDir%\inetapi64.dll, 67072字节,启动模块
%WinDir%\mfcd3o.dll, 69196字节,病毒自身。
3. 把inetapi64.dll注册成为IE组件,这样每次系统启动时,病毒模块inetapi64.dll都会被自动加载。该模块负责启动病毒主程序exp1orer.exe。
4. 病毒主程序通过inetapi32.dll安装键盘和鼠标挂钩,窃取用户对传奇游戏窗口的键盘和鼠标操作。主程序和挂钩模块通过共享内存传递信息,主程序每隔1分钟把窃取的游戏帐号、密码和装备等信息通过电子邮件发送给病毒作者。
江民公司提醒广大用户,及时升级病毒库,上网时开启KV的实时监控,把您的私密信息加入KV的隐私保护功能,以免成为各种木马病毒的受害者。针对该病毒,江民公司已经在第一时间升级。请KV用户立即升级到7月6日病毒库,即可全面防杀该病毒。