2011年5月16日,江民反病毒中心截获了“代理木马”变种uen病毒,“代理木马”变种uen是一个专门盗取网络游戏会员账号的木马下载器程序,其会在被感染系统的后台秘密监视系统所运行程序的窗口标题,一旦发现指定程序启动,便会利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息,并在后台将窃得的信息发送到骇客指定的站点(地址加密存放),致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失,给游戏玩家造成了不同程度的损失。另外,“代理木马”变种uen会通过在被感染系统注册表启动项中修改登陆初始化内容的方式实现自动运行。
据江民反病毒专家介绍,“代理木马”变种uen是“代理木马”家族中的最新成员之一,采用高级语言编写,经过加壳保护处理。“代理木马”变种uen运行后,会获得系统的SeSystemTimePrivilege权限。然后自我复制到被感染系统的“%SystemRoot%\system32\”文件夹下,重新命名为“qvait.exe”。在被感染系统的后台连接骇客指定的站点“http://www.t*45.com/plin345/”,下载恶意程序“tw345.gif”、“tw345.jpg”、“tw345.bmp”并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,致使用户面临更多的威胁。