病毒名称：Rootkit.Qandr.c
　　中 文 名：“圈蛀”变种c
　　病毒长度：172032字节
　　病毒类型：木马
　　危险级别：★★
　　影响平台：Win 9X/ME/NT/2000/XP/2003

　　Rootkit.Qandr.c“圈蛀”变种c是“圈蛀”木马家族的最新成员之一，采用汇编语言编写，并经过加壳保护处理。“圈蛀”变种c运行后，在被感染计算机系统的“%SystemRoot%\system32\drivers\”目录下释放一个恶意的驱动程序文件“qandr.sys”。将“qandr.sys”注册为系统服务，实现木马开机自动运行。利用Rootkit技术，采用“SSDT HOOK”技术挂接了系统中的“NtEnumerateKey”和“NtOpenKey”API函数，采用“FSD inline HOOK”技术挂接了系统文件过滤驱动中的“IRP_MJ_DIRECTORY_CONTROL”请求，隐藏自我，防止被查杀。“圈蛀”变种c可能是一个驱动级的后门程序，会给被感染计算机用户带来潜在的危险，同时会带去不同程度的损失。另外，“圈蛀”变种c会在系统临时文件夹下创建一个批处理程序文件，当恶意驱动程序文件“qandr.sys”安装完毕后调用这个批处理程序实现自我删除。

　　病毒名称：Trojan/PSW.LMir.gwk
　　中 文 名：“传奇窃贼”变种gwk
　　病毒长度：83249字节
　　病毒类型：木马
　　危险级别：★
　　影响平台：Win 9X/ME/NT/2000/XP/2003

　　Trojan/PSW.LMir.gwk“传奇窃贼”变种gwk是“传奇窃贼”木马家族的最新成员之一，采用高级语言编写，并经过加壳保护处理。“传奇窃贼”变种gwk运行后，自我插入到被感染计算机中的某些系统进程内加载运行，隐藏自我，防止被查杀。修改注册表，实现木马开机自动运行。在被感染计算机系统的后台利用HOOK和内存截取等技术盗取《传奇世界》玩家的游戏帐号、游戏密码、仓库密码、角色等级、金钱数量、所在区服、计算机名称等信息，并在后台将玩家信息发送到骇客指定的远程服务器上，致使《传奇世界》游戏玩家的游戏帐号、装备物品、金钱等丢失，给游戏玩家带来非常大的损失。另外，“传奇窃贼”变种gwk会强行删除系统中的HOSTS文件，防止用户把该木马的收信地址加入到具有“域名映像劫持”功能的HOSTS文件中，以便正常接收到盗取的玩家帐号等信息。

（责任编辑：hahack）