金山反病毒中心日前截获一个窃取传奇游戏账号密码的木马病毒DJ2005(Win32.Troj.QQMydj2005)。该病毒最大的特点是可通过flash文件进行传播,当用户浏览网站时,病毒可随flash自动被下载执行。目前,该例病毒被认为是首个通过flash进行传播的病毒,病毒的欺骗性又提高一步。
Flash是网络上一种非常通用的动画格式,很多优美的歌曲、搞笑幽默动画都是因为托Flash的精美强大而广被流传。令因Flash可以做出酷炫的效果,很多厂家在门户网站上投放的广告也是以此格式来发布。总之,如果随着Flash打开一个网站或者下载一个不相干的程序,那么需要小心了,没准那就是病毒。
DJ2005是一个可以盗取传奇密码和账号的木马,属于“武汉男生2005”的系列变种。盗取机理相对普通常规一些,靠截获分析键盘消息进行破坏。目前已经有几个用户向金山公司求助中了该病毒。
中了DJ2005的机器会在系统目录创建如下文件:%system%\msapi.exe,%system%\snet.exe。还会释放dll到系统目录下,释放的dll文件名不确定,但是都是以msapi开头的,即类似msapi????.dll的文件名。该dll还可进驻到explorer.exe进程中,随浏览器一并运行。
DJ2005除了可以通过flash的方式传播外还可以通过QQ进行传播,譬如通过QQ发送消息,诱骗用户中毒。升级金山毒霸病毒库到最新可查杀此病毒,也可通过通过免费在线查毒(http://scan.kingsoft.com/)判断是否中了DJ2005木马。
