安天实验室6月9日病毒预警

一、“DNF窃贼”（Trojan/Win32.Vilsel.aepw） 威胁级别：★★★★

    该恶意代码文件为DNF游戏盗号木马，病毒运行之后衍生病毒文件到%System32%目录下命名为2tgfsddaew4refdsd.ime（该后缀名文件为输入法文件）并将该文件改名为随机名*.drv（该后缀名文件为设备驱动程序）后缀名文件，然后再次创建一个2tgfsddaew4refdsd.ime到该目录下，调用输入法API函数来安装创建的病毒文件伪装成（中文(简体)-智能CBA），因为DNF游戏有Tenprotect网游反外挂引擎保护无法正常将DLL注入到该游戏进程中，所以病毒利用该手段通过用户切换输入法方式将病毒DLL注入进游戏进程中，衍生2个DLL文件之后，查找类名"TWINCONTROL"标题名为“地下城与勇士”、“地下城勇士”的窗口，找到之后向该窗口发送关闭消息，调用"rundll32.exe"来加载2tgfsddaew4refdsd.ime文件，将病毒文件注入到Explorer.exe、conime.exe进程中，释放批处理文件删除病毒原文件，病毒DLL文件分析：判断自身模块是否在DNF进程中，并获取DNF窗口相关信息，通过内存技术截取账号密码，将获取的账号密码发送到作者指定的地址中。

二、“记录间谍”（Trojan/Win32.KeyLogger.fpv[Spy]） 威胁级别：★★★★

    该病毒图标为jpg格式文件图标；该文件是由一个图片文件和一个病毒文件用winrar组成的自解压复合文件；病毒运行后衍生病毒文件到%Windir%目录下，衍生图片文件到%Windir%\temp下，用以迷惑用户；修改注册表添加启动项，使病毒文件随机启动；病毒运行后记录当前用户的键盘操作，保存到%Windir%目录下的winhlp32.hlp文件中；连接FTP服务器，将捕获的键盘数据发送到指定的目录。该病毒通过病毒作者向攻击目标的email地址发送邮件的方式进行传播。

安天反病毒工程师建议