特征描述：
Trojan/Vilsel.axp"危鬼"變種axp是"危鬼"家族中的最新成員之一，采用"Microsoft Visual C++"編寫，經(jīng)過加殼保護(hù)處理。"危鬼"變種axp運(yùn)行后，會(huì)在被感染系統(tǒng)的"%SystemRoot%system32"文件夾下創(chuàng)建惡意DLL組件"kb*.dll"（8位隨機(jī)數(shù)），在系統(tǒng)臨時(shí)文件夾"%USERPROFILE%Local SettingsTemp"下創(chuàng)建兩個(gè)臨時(shí)文件，同時(shí)還會(huì)創(chuàng)建配置文件"%SystemRoot%system32wsconfig.db"和"%SystemRoot%system32dllcachemtpws31.dat"。"危鬼"變種axp會(huì)把系統(tǒng)文件"C:WINDOWSsystem32imm32.dll"備份為"C:WINDOWSsystem32imm32.dll.bak"，之后關(guān)閉系統(tǒng)文件保護(hù)功能，并修改"imm32.dll"文件的入口代碼，以此實(shí)現(xiàn)調(diào)用病毒組件的目的。在執(zhí)行病毒組件的同時(shí)，其仍會(huì)執(zhí)行系統(tǒng)組件自身的功能，以此增強(qiáng)了自身的隱蔽性。"危鬼"變種axp釋放的DLL是一個(gè)專門盜取"夢(mèng)幻誅仙"網(wǎng)絡(luò)游戲會(huì)員賬號(hào)的木馬程序，其會(huì)在被感染系統(tǒng)的后臺(tái)秘密監(jiān)視用戶系統(tǒng)中運(yùn)行的所有應(yīng)用程序的窗口標(biāo)題，然后利用鍵盤鉤子、內(nèi)存截取或封包截取等技術(shù)盜取網(wǎng)絡(luò)游戲玩家的游戲賬號(hào)、游戲密碼、所在區(qū)服、角色等級(jí)、金錢數(shù)量、倉(cāng)庫(kù)密碼等信息，并在后臺(tái)將竊得的信息發(fā)送到駭客指定的頁(yè)面"http://denglu.foxye**oxox.com:8085/lin.asp"上（地址加密存放），致使網(wǎng)絡(luò)游戲玩家的游戲賬號(hào)、裝備、物品、金錢等丟失，給游戲玩家造成了不同程度的損失。另外，"危鬼"變種axp在安裝完畢后會(huì)將自我刪除，以此消除痕跡。

英文名稱：Trojan/DNSSmokva.am
中文名稱："DNS騙子"變種am
病毒長(zhǎng)度：20992字節(jié)
病毒類型：木馬
危險(xiǎn)級(jí)別：★
影響平臺(tái)：Win 9X/ME/NT/2000/XP/2003
MD5 校驗(yàn)：66d386e50d39caf7407a0c55aa45a832

特征描述：
Trojan/DNSSmokva.am"DNS騙子"變種am是"DNS騙子"家族中的最新成員之一。"DNS騙子"變種am會(huì)通過修改注冊(cè)表"HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters"下相關(guān)鍵值的方式，實(shí)現(xiàn)篡改系統(tǒng)DNS設(shè)置的目的。其會(huì)將"本地連接"的DNS服務(wù)器地址設(shè)置為"85.255.*.85"（首選）和"85.255.112.236"（備用），當(dāng)被感染系統(tǒng)用戶在提交域名時(shí)，可能會(huì)被該DNS服務(wù)器進(jìn)行惡意解析，從而被引導(dǎo)至惡意站點(diǎn)上，致使用戶面臨極大的風(fēng)險(xiǎn)和威脅。

kuangmin