Trojan/Agent.aylm“代理木马”变种aylm是“代理木马”家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写,并且经过加壳保护处理。“代理木马”变种aylm运行后,会在被感染计算机系统的“%SystemRoot%\system32\”目录下释放经过加壳保护的恶意DLL组件“bjrvm.dll”和“msepbe.dll”(文件属性为“系统、隐藏”),并修改文件的时间属性为系统安装日期,以此迷惑用户,更好的隐藏了自我。同时,还会在相同目录下创建配置文件“bjrvm.cfg”和释放恶意驱动程序“mseion.sys”。“代理木马”变种aylm释放的组件会在被感染计算机的后台遍历当前系统中所有正在运行的进程,一旦发现指定的安全软件存在,便会尝试将其结束。还会对木马的相关进程进行守护,从而防止被轻易地查杀,达到了自我保护的目的。其释放的恶意驱动程序会利用rootkit技术将木马文件、注册表键值以及进程等木马相关项目进行隐藏,增强了隐蔽性,提高了木马的生存几率。“代理木马”变种aylm是一个专门盗取“梦幻西游”网络游戏会员账号的木马程序,运行后会首先确认自身是否已经被成功地插入到指定的游戏进程中。如果已经成功地插入,其便会利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息,并在后台将窃取到的这些机密信息发送到骇客指定的远程服务器站点“http://aiainue.zz*yuan.com/2/lin.asp”上(地址加密存放),致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失,给游戏玩家造成了不同程度的损失。“代理木马”变种aylm运行完毕后会将自身删除,以此达到了消除痕迹的目的。另外,其会通过在被感染计算机系统中注册系统服务或者添加注册表启动项的方式实现木马的开机自启。
