特征描述：
Backdoor/NetBot.mq"毒波"變種mq是"毒波"家族中的最新成員之一，采用"Microsoft Visual C++ 6.0"編寫。"毒波"變種mq運行后，會自我復制到被感染系統(tǒng)的"%SystemRoot%system32"文件夾下，重新命名為"regedit32.exe"（區(qū)別于正常系統(tǒng)文件"regedt32.exe"），文件屬性設置為"系統(tǒng)、隱藏"，同時還可能釋放仿冒系統(tǒng)文件的驅(qū)動文件"beep.sys"。"毒波"變種mq會自我復制到可移動存儲設備的根目錄下，重新命名為"setup.exe"。同時生成"autorun.inf"文件，文件屬性均設置為"只讀、系統(tǒng)、隱藏"，從而達到了利用可移動存儲設備進行傳播的目的。"毒波"變種mq運行后，會將惡意代碼注入到新創(chuàng)建的進程"svchost.exe"的內(nèi)存空間中隱秘運行。不斷嘗試與控制端（地址為：benbenwan.22*8.org:8000）進行連接，連接成功后駭客可以向被感染的計算機發(fā)送惡意指令，從而執(zhí)行文件管理、進程控制、注冊表操作、服務管理、遠程命令執(zhí)行、屏幕監(jiān)控、鍵盤監(jiān)聽、鼠標控制等惡意行為，從而給用戶的信息安全構成嚴重的威脅。另外，"毒波"變種mq會在被感染計算機中注冊名為"BackGround switch"的系統(tǒng)服務，以此實現(xiàn)開機自啟。

英文名稱：Trojan/PSW.OnLineGames.bhok
中文名稱："網(wǎng)游竊賊"變種bhok
病毒長度：73371字節(jié)
病毒類型：盜號木馬
危險級別：★★
影響平臺：Win 9X/ME/NT/2000/XP/2003
MD5 校驗：7c5f73ce1467f667456089dcaa175c2d

特征描述：
Trojan/PSW.OnLineGames.bhok"網(wǎng)游竊賊"變種bhok是"網(wǎng)游竊賊"家族中的最新成員之一，采用"Borland Delphi 6.0 – 7.0"編寫，經(jīng)過加殼保護處理。"網(wǎng)游竊賊"變種bhok運行后，會自我復制到被感染系統(tǒng)的"%ProgramFiles%Internet Explorer"文件夾下，重新命名為"SDK.bak"。釋放惡意DLL文件"SDK.dll"，同時備份為"SDK.tmp"。"網(wǎng)游竊賊"變種bhok是一個專門盜取"騰訊QQ"賬號和密碼的木馬程序，運行后會首先查看自身是否已經(jīng)插入到"QQ.exe"、"explorer.exe"或"verclsid.exe"等進程之中。強行迫使用戶掉線，并重新返回到"QQ"的登陸窗口中。通過一系列的消息鉤子、內(nèi)存截取等操作，盜取用戶輸入的賬號和密碼等機密信息，并在后臺將竊得的信息（包括計算機名、當前IP地址、計算機用戶名、QQ賬號、QQ密碼等）發(fā)送到駭客指定的頁面"http://www.hahah*la.cn/dami/qq.asp"（地址加密存放）上，從而給用戶造成了不同程度的損失。另外，"網(wǎng)游竊賊"變種bhok會修改注冊表鍵"ShellExecuteHooks"的鍵值，以此實現(xiàn)開機自動運行。

kuangmin