篡改IE瀏覽器程序文件　竊取聊天工具信息

病毒名稱：TrojanSpy.Goldun.nz

中 文 名：「金盾」變種nz

病毒長度：86016字節

病毒類型：間諜類木馬

危險級別：★★

影響平台：Win 9X/ME/NT/2000/XP/2003

TrojanSpy.Goldun.nz「金盾」變種nz是「金盾」木馬家族的最新成員之一，採用Microsoft Visual C++ 6.0編寫，並經過加多層保護殼處理。

「金盾」變種nz運行後，在被感染計算機系統的%SystemRoot%/system32目錄下釋放惡意DLL組件程序msvcrl.dll，文件信息偽裝成微軟的版權信息和描述信息。在被感染計算機系統的後台篡改系統IE瀏覽器程序文件，向其中添加惡意代碼，致使用戶一運行IE瀏覽器就會先加載運行msvcrl.dll，後執行IE瀏覽器本身的功能操作。當系統IE瀏覽器執行完msvcrl.dll後就會自動關閉退出，致使用戶無法正常使用系統IE瀏覽器長時間去瀏覽網頁。在被感染計算機系統的後台連接駭客指定的遠程伺服器站點，獲取其它惡意程序下載列表，在被感染計算機上下載並全部調用執行，嚴重威脅用戶計算機信息安全。另外，「金盾」變種nz可能會在被感染計算機系統的後台盜取MSN、ICQ、YAHOO等即時聊天工具和Outlook中用戶的登陸賬號和登陸密碼，並將這些信息發送給駭客，給用戶帶來不同程度的損失。

病毒名稱：TrojanDownloader.Delf.iiu

中 文 名：「TrojanDownloader.Delf」變種iiu

病毒長度：21504字節

病毒類型：木馬下載器

危險級別：★★

影響平台：Win 9X/ME/NT/2000/XP/2003

TrojanDownloader.Delf.iiu「TrojanDownloader.Delf」變種iiu是「TrojanDownloader.Delf」木馬下載器家族的最新成員之一，採用Delphi語言編寫，並經過加殼壓縮處理。「TrojanDownloader.Delf」變種iiu運行後，自我複製到系統盤的指定目錄下，並在臨時文件夾下釋放一個惡意驅動文件，文件名隨機生成。該惡意驅動文件利用了硬碟過濾驅動技術和關機HOOK技術，可以直接掛接硬碟IO端口進行讀寫真實硬碟物理地址中的資料和進行監控關機行為等操作。「TrojanDownloader.Delf」變種iiu利用該惡意驅動文件將自身複製並保存到被感染計算機系統的真實硬碟的指定目錄下，達到穿透「還原保護系統」的目的。當用戶關閉或重新啟動計算機時，這個惡意驅動文件還會把「TrojanDownloader.Delf」變種iiu重新寫入到真實硬碟中對應的「啟動」文件夾裡，致使「TrojanDownloader.Delf」變種iiu每次開機都可以利用「啟動」文件夾來實現開機自動運行。連接指定站點，下載一系列惡意程序並在被感染計算機上自動調用執行。其中，所下載的惡意程序可能為木馬下載器、可進行遠程完全控制的後門或網絡遊戲盜號木馬等，給被感染計算機用戶帶來極大的損失。

(