修改“imm32.dll”文件的入口代码，以此实现调用病毒组件的目的。在执行病毒组件的同时，其仍会执行系统组件自身的功能，以此增强了自身的隐蔽性。“危鬼”变种axp释放的DLL是一个专门盗取“梦幻诛仙”网络游戏会员账号的木马程序，其会在被感染系统的后台秘密监视用户系统中运行的所有应用程序的窗口标题，然后利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息，并在后台将窃得的信息发送到骇客指定的页面“http://denglu.foxye**oxox.com:8085/lin.asp”上(地址加密存放)，致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家造成了不同程度的损失。另外，“危鬼”变种axp在安装完毕后会将自我删除，以此消除痕迹。

　　英文名称：Trojan/DNSSmokva.am

　　中文名称：“DNS骗子”变种am

　　病毒长度：20992字节

　　病毒类型：木马

　　危险级别：★

　　影响平台：Win 9X/ME/NT/2000/XP/2003

　　MD5 校验：66d386e50d39caf7407a0c55aa45a832

　　特征描述：

　　Trojan/DNSSmokva.am“DNS骗子”变种am是“DNS骗子”家族中的最新成员之一。“DNS骗子”变种am会通过修改注册表“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters”下相关键值的方式，实现篡改系统DNS设置的目的。其会将“本地连接”的DNS服务器地址设置为“85.255.*.85”(首选)和“85.255.112.236”(备用)，当被感染系统用户在提交域名时，可能会被该DNS服务器进行恶意解析，从而被引导至恶意站点上，致使用户面临极大的风险和威胁。

　　卡巴斯基：

　　卡巴斯基：警惕后门木马隐蔽手段升级

　　经过多年的发展，很多恶意程序已经练就出一套隐藏自身，避免被发现的本领。这些手段包括冒充系统正常文件、将自身设置为隐藏属性，甚至以服务方式启动等等。卡巴斯基实验室近期检测到一种名为“刀疤”木马(Trojan.Win32.Scar.baao)的变种，就采用了上述多种手段保护自己。首先，感染系统后，木马会释放一个名为WinHelp32.exe的文件到系统文件夹，并删除木马自身。其实Windows系统真正的帮助文件名称应为为winhlp32.exe，木马释放的文件充当了“李鬼”的角色。不仅如此，这个假冒的文件还会将自身设置为隐藏属性，一般用户很难察觉。程序运行后，会调用services.exe加载自身为服务项，然后通过修改和调用svchost.exe进程，访问远程服务器，伺机接受远程指令，下载更多恶意程序到受感染计算机，给计算机安全造成重大隐患。

　　目前，卡巴斯基已可以成功查杀 “刀疤”木马及其变种，我们建议您尽快更新病毒库进行查杀以避免不必要的损失。

　　以上是华军给大家带来病毒播报，希望对大家有帮助。

 

 

9 7 3 1 2 3 4 8 :