江民9.02播报:"IRC波""克隆先生"变种

　　江民今日提醒您注意：在今天的病毒中Backdoor/IRCBot.gsl“IRC波”变种gsl和Packed.Klone.cgg“克隆先生”变种cgg值得关注。

　　英文名称：Backdoor/IRCBot.gsl

　　中文名称：“IRC波”变种gsl

　　病毒长度：37120字节

　　病毒类型：后门

　　危险级别：★

　　影响平台：Win9X/ME/NT/2000/XP/2003

　　MD5校验：5d982154bdffbc909adba9a8f7746ca2

　　特征描述：

　　Backdoor/IRCBot.gsl“IRC波”变种gsl是“IRC波”后门家族中的最新成员之一，采用“MicrosoftVisualC++6.0”编写，并且经过加壳保护处理。“IRC波”变种gsl运行后，会在被感染计算机系统的“%SystemRoot%\system32\”目录下释放经过加壳保护的恶意DLL组件“*.dll”（*为随机8个字符），并在该文件尾部添加加密的收信地址以及大量的垃圾代码，因此该文件的体积很大。“IRC波”变种gsl是一个专门盗取“冒险岛Online”网络游戏会员账号的木马程序，其运行后会首先关闭系统中已经存在的游戏进程。确认自身是否已经插入到桌面进程“explorer.exe”中，然后通过安装消息钩子等方式，监视当前的系统状态，伺机进行恶意操作。插入游戏进程“MapleStory.exe”中，利用消息钩子、内存截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级等信息，并在后台将窃得的信息发送到骇客指定的收信页面“http://www.163x*.com.cn/mxdzong/mail.asp”等上（地址加密存放），致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家造成了不同程度的损失。另外，“IRC波”变种gsl会通过修改注册表的方式实现木马组件的开机自启。

　　英文名称：Packed.Klone.cgg

　　中文名称：“克隆先生”变种cgg

　　病毒长度：814592字节

　　病毒类型：木马

　　危险级别：★★

　　影响平台：Win9X/ME/NT/2000/XP/2003

　　MD5校验：ef067bae0eb5a4741c47242fe3ae70bc

　　特征描述：

　　Packed.Klone.cgg“克隆先生”变种cgg是“克隆先生”木马家族中的最新成员之一，采用高级语言编写，并且经过加壳保护处理。“克隆先生”变种cgg运行后，会在被感染计算机系统的“%SystemRoot%\”目录下释放经过加壳保护的恶意程序“EntSver.exe”，文件属性设置为“系统、只读、隐藏”。其释放的恶意程序运行后，会将恶意代码注入到新创建的“iexplore.exe”进程的内存中隐秘运行。不断尝试与控制端（IP地址为：114.217.*.61:8000）进行连接，如果连接成功，则被感染的计算机就会沦为傀儡主机。骇客可以向被感染的计算机发送恶意指令，从而执行任意控制操作，给被感染系统用户的个人隐私甚至是商业机密造成不同程度的损失。同时，骇客还可以向傀儡主机发送大量的恶意程序，从而对用户的计算机安全构成更加严重的威胁。另外，“克隆先生”变种cgg会在被感染计算机中注册名为“WindowsEntServer2008”的系统服务，以此实现木马的开机自启。