特征描述：

Trojan/PSW.Magania.xgc"瑪格尼亞"變種xgc是"瑪格尼亞"盜號(hào)木馬家族中的最新成員之一，采用高級(jí)語(yǔ)言編寫(xiě)，并且經(jīng)過(guò)加殼保護(hù)處理。"瑪格尼亞"變種xgc運(yùn)行后，會(huì)自我復(fù)制到被感染計(jì)算機(jī)系統(tǒng)的臨時(shí)文件夾下，重新命名為"olhrwef.exe"。在相同目錄下釋放加殼保護(hù)的惡意DLL組件"nmdfgds*.dll"，文件屬性設(shè)置為"系統(tǒng)、隱藏、只讀"。另外，還可能在"%SystemRoot%system32drivers"目錄下釋放惡意驅(qū)動(dòng)程序"cdaudio.sys"，以此覆蓋系統(tǒng)同名文件。通過(guò)該驅(qū)動(dòng)提供的服務(wù)，其可以結(jié)束某些安全軟件的自我保護(hù)，進(jìn)而關(guān)閉其進(jìn)程。也可以通過(guò)向指定的窗口對(duì)象發(fā)送特定消息的方式結(jié)束某些進(jìn)程，以此達(dá)到自我保護(hù)的目的。"瑪格尼亞"變種xgc是一個(gè)盜取"驚天動(dòng)地Online"、"最終幻想XI Online"、"冒險(xiǎn)島"、"魔獸世界"等網(wǎng)絡(luò)游戲會(huì)員賬號(hào)的木馬程序，其會(huì)將惡意代碼注入到"explorer.exe"中隱秘運(yùn)行。安裝消息鉤子，監(jiān)視用戶(hù)當(dāng)前的系統(tǒng)狀況。插入指定的游戲進(jìn)程中，利用鼠標(biāo)鍵盤(pán)鉤子、內(nèi)存截取等技術(shù)盜取網(wǎng)絡(luò)游戲玩家的游戲賬號(hào)、游戲密碼、所在區(qū)服、角色等級(jí)、金錢(qián)數(shù)量、倉(cāng)庫(kù)密碼等信息，并在后臺(tái)將竊得的信息發(fā)送到駭客指定的收信頁(yè)面"http://vnhju.com/y2y3/mfg/lin.asp"等上（地址加密存放），致使網(wǎng)絡(luò)游戲玩家的游戲賬號(hào)、裝備、物品、金錢(qián)等丟失，給游戲玩家造成了不同程度的損失。"瑪格尼亞"變種xgc會(huì)篡改注冊(cè)表，致使被感染系統(tǒng)的"顯示系統(tǒng)隱藏文件"功能失效，同時(shí)還可通過(guò)移動(dòng)存儲(chǔ)設(shè)備的自動(dòng)播放功能進(jìn)行傳播，以及連接指定URL"http://ghterw*.com/xmfx/help1.rar"進(jìn)行自我更新。另外，"瑪格尼亞"變種xgc會(huì)通過(guò)在被感染系統(tǒng)注冊(cè)表啟動(dòng)項(xiàng)中添加鍵值"cdoosoft"，以此實(shí)現(xiàn)開(kāi)機(jī)自
動(dòng)運(yùn)行。

英文名稱(chēng)：Backdoor/Xyligan.p
中文名稱(chēng)："暗門(mén)"變種p
病毒長(zhǎng)度：32682字節(jié)
病毒類(lèi)型：后門(mén)
危險(xiǎn)級(jí)別：★★
影響平臺(tái)：Win 9X/ME/NT/2000/XP/2003
MD5 校驗(yàn)：43003ac45d393fdc2ac17afeb165ee28

特征描述：

Backdoor/Xyligan.p"暗門(mén)"變種p是"暗門(mén)"后門(mén)家族中的最新成員之一，采用"Microsoft Visual C++ 6.0"編寫(xiě)，并且經(jīng)過(guò)加殼保護(hù)處理。"暗門(mén)"變種p運(yùn)行后，會(huì)自我復(fù)制到被感染系統(tǒng)的"%SystemRoot%system32"文件夾下，重新命名為"*.exe"（*為隨機(jī)6個(gè)字母）。之后將病毒原文件刪除，以此消除痕跡。"暗門(mén)"變種p運(yùn)行后，會(huì)將自我注冊(cè)為系統(tǒng)服務(wù)，并將自身加入到Windows系統(tǒng)防火墻的"例外"列表中，使得防火墻不會(huì)監(jiān)視其發(fā)出的可疑連接。"暗門(mén)"變種p會(huì)不斷嘗試與控制端（地址為：ninibooo.33*.org:8000）進(jìn)行連接，一旦連接成功，則被感染的計(jì)算機(jī)將遭到被遠(yuǎn)程控制的威脅。駭客可以向被感染的計(jì)算機(jī)發(fā)送惡意指令，從而執(zhí)行視頻捕捉、文件管理、進(jìn)程控制、遠(yuǎn)程命令執(zhí)行、下載其它惡意程序等惡意操作，從而給用戶(hù)的信息安全造成嚴(yán)重的侵害。另外，"暗門(mén)"變種p會(huì)在被感染計(jì)算機(jī)中注冊(cè)名為"fyddos_service_name"的系統(tǒng)服務(wù)，以此實(shí)現(xiàn)后門(mén)的開(kāi)機(jī)自啟（服務(wù)名稱(chēng)顯示為"fyddos service display"）。

針對(duì)以上病毒，江民反病毒中心建議廣大電腦用戶(hù)：

1、請(qǐng)立即升級(jí)江民殺毒軟件，開(kāi)啟新一代智能分級(jí)高速殺毒引擎及各項(xiàng)監(jiān)控，防止目前盛行的病毒、木馬、有害程序或代碼等攻擊用戶(hù)計(jì)算機(jī)。

2、江民KV網(wǎng)絡(luò)版的用戶(hù)請(qǐng)及時(shí)升級(jí)控制中心，并建議相關(guān)管理人員在適當(dāng)時(shí)候進(jìn)行全網(wǎng)查殺病毒，保證企業(yè)信息安全。

3、江民殺毒軟件增強(qiáng)虛擬機(jī)脫殼技術(shù)，能夠?qū)Ω鞣N主流殼以及疑難的"花指令殼"、"生僻殼"病毒進(jìn)行脫殼掃描，有效清除"殼病毒"。

4、開(kāi)啟江民殺毒軟件的系統(tǒng)監(jiān)控功能，該功能可對(duì)病毒試圖下載惡意程序、強(qiáng)行篡改系統(tǒng)時(shí)間、注入進(jìn)程和調(diào)用其它惡意程序等行為進(jìn)行監(jiān)控并自動(dòng)干預(yù)、處理，有效地遏制
了未知病毒對(duì)系統(tǒng)所造成的干擾和破壞，更大程度的提高了計(jì)算機(jī)對(duì)于未知病毒的防范能力。

5、江民防馬墻，能夠第一時(shí)間發(fā)現(xiàn)和阻止帶有木馬病毒的惡意網(wǎng)頁(yè)，可以自動(dòng)搜集惡意網(wǎng)址并加入特征庫(kù)，阻止了網(wǎng)頁(yè)木馬的傳播，有效地保障了用戶(hù)的上網(wǎng)安全。

6、全面開(kāi)啟BOOTSCAN功能，在系統(tǒng)啟動(dòng)前殺毒，清除具有自我保護(hù)和反攻殺毒軟件的惡性病毒。

7、江民殺毒軟件新增強(qiáng)大的啟發(fā)式掃描，能夠啟發(fā)掃描90％以上的未知病毒。

8、盡量不要以雙擊盤(pán)符的方式訪(fǎng)問(wèn)硬盤(pán)或移動(dòng)存儲(chǔ)設(shè)備的分區(qū)，而是通過(guò)資源管理器中左側(cè)的"樹(shù)形目錄"或在地址欄中輸入盤(pán)符的方式進(jìn)行訪(fǎng)問(wèn)，從而避免計(jì)算機(jī)病毒利用
系統(tǒng)自動(dòng)運(yùn)行特性進(jìn)行感染和傳播。

9、江民針對(duì)感染Delphi編譯環(huán)境和應(yīng)用程序的"Delphi侵蝕者"病毒推出了專(zhuān)殺工具，請(qǐng)廣大Delphi開(kāi)發(fā)人員和網(wǎng)民立即下載并對(duì)系統(tǒng)進(jìn)行掃描，從而避免成為病毒傳播的源
頭以及被該病毒所感染。下載地址：http://filedown.jiangmin.com/download/JMInducKiller.exe

10、懷疑已中毒的用戶(hù)可使用江民免費(fèi)在線(xiàn)查毒進(jìn)行病毒查證。免費(fèi)在線(xiàn)查毒地址：http://online.jiangmin.com/

有關(guān)更詳盡的病毒技術(shù)資料請(qǐng)直接撥打江民公司的技術(shù)服務(wù)熱線(xiàn)800-810-2300和010-82511177進(jìn)行咨詢(xún)，或訪(fǎng)問(wèn)江民網(wǎng)站http://www.jiangmin.com進(jìn)行在線(xiàn)查閱。

zhabin