17173提醒廣大玩家朋友在玩網路遊戲前,請務必裝好防火牆以及防木馬病毒的監察軟體和殺毒軟體,並及時升級,以免帳號丟失。以下是近日最新出現的網遊盜號病毒:
「網遊盜號木馬78089」(Win32.PSWTroj.OnLineGames.78089) 威脅級別:★
這個盜號木馬近來傳播趨勢較高。毒霸反病毒工程師發現,該毒近來出現大量變種,可能是病毒作者利用自動生成工具批量生成的原因,值得關注。
文件進入系統後,將兩個病毒文件釋放到系統盤下,分別為%WINDOWS%\下的huifitc.exe,以及%WINDOWS%\system32\目錄下的huifitc.dll。其中huifitc.exe是病毒的主文件,會被注入系統註冊表,以實現病毒的開機自啟動。而huifitc.dll用於執行盜號行為。
當順利運行起來,病毒就注入系統桌面進程explorer.exe,搜索網遊《烽火之旅》、《魔獸世界》,以及「遊戲茶苑」,發現後注入其中。如注入成功,就讀取帳號和密碼,發送到病毒作者指定的地址http:/ /www.ck8***6.com,給用戶造成虛擬財產的損失。http://vi.duba.net/virus/win32-pswtroj-onlinegames-78089-50619.html
「冒險島盜號者107664」(Win32.Troj.OnlineGameT.am.107664) 威脅級別:★
此盜號木馬利用消息鉤子來盜取用戶的遊戲帳號。所謂的消息鉤子,就是在用戶與遊戲伺服器的通訊信息之間建立監視,從其中篩選出帳號與密碼信息。
病毒在進入系統後會釋放出病毒文件fdght.dll、fjyjy.cfg、fjyjy.dll,它們的相關數據會被添加到註冊表啟動項中,使病毒實現開機自啟動。文件的目錄是%WINDOWS%\system32\,習慣手動查殺的用戶,注意需將這幾個文件刪除。
最後,病毒搜尋《冒險島oline》遊戲進程,並將文件注入其中,盜取帳號,然後把贓物通過網頁提交的方式發送到http://www.******.cn/911qj_tx/200/post.asp這個由病毒作者指定的網址。
「鍵盤記錄員變種112243」(Win32.PSWTroj.OnlineGames.mo.112243) 威脅級別:★
這個盜號木馬是「鍵盤記錄員」的一個相關變種。它的目標依然是任何輸入電腦的數據。此病毒和它的一系列變種近來傳播趨勢比較高,目前已經影響到日本和東南亞的一些電腦用戶。毒霸反病毒工程師認為,這可能與病毒製作集團故意擴大該病毒傳播範圍有關。
木馬在系統中釋放完文件後,會修改SSDT(系統服務調度表),從而解除具有主動防禦功能的殺毒軟體的武裝。然後,它修改註冊表中的相關數據,把病毒文件屬性設置為「系統」、「隱藏」和「只讀」,並將系統文件的顯示模式鎖定為隱藏,讓用戶無法發現它的文件。
接下來,和以前的版本一樣,病毒會監視用戶的滑鼠、鍵盤操作,記錄下用戶操作電腦時輸入的各種信息。每隔一段時間,就將這些偷到的信息加密,以郵件的形式通過SMTP通信協議和網頁收信空間發送給木馬作者。所謂的SMTP,是一種可以免除驗證的通訊方式,能為WINDOWS系統用戶之間的通訊提供便利,但也因此而被一些病毒作者所利用。
由於是採取完整的鍵盤記錄,無論任何國家、地區,不論是商用電腦還是個人電腦,只要用戶在中毒電腦上輸入信息,都會被病毒作者所掌握。
「網遊盜號木馬65697」(Win32.Troj.OnlineGameT.bd.65697) 威脅級別:★
針對網遊的盜號木馬依然是目前流行木馬中最為常見的部分。此篇預警播報中的病毒,就是個盜號木馬,它的目標是《大話西遊》、《完美世界》、QQ即時聊天工具和QQ遊戲。
病毒進入電腦後,在%WINDOWS%\system32\目錄下釋放出病毒文件DbgHlp32.exe和DbgHlp32.dll,其中DbgHlp32.exe是病毒主文件,會被寫入系統註冊表的啟動項,讓病毒實現開機自動啟動。
接著,病毒循環查找是否存在安全軟體的通知或者是警告窗口,如果發現則發送消息關閉它。如果檢測到《大話西遊》、《完美世界》、QQ即時聊天工具和QQ遊戲的進程,則通過讀取相關進程內存的方式盜取帳號信息,並發送到病毒作者指定的遠程地址。
「網遊盜號核桃69805」(Win23.PSWTroj.OnLineGames.69805) 威脅級別:★
這個病毒經過了FSG2.0加殼技術的處理,試圖以此躲避安全軟體對它的查殺,不過毒霸依然徹底清除它。
病毒進入電腦,釋放完文件後,會自我刪除當初的原始文件,讓用戶難以發現它。不過,習慣手動殺毒的用戶,依然可以在系統盤的%WINDOWS%目錄下找到它的病毒文件ticisms.exe。這是它的主文件,會被寫入註冊表啟動項,達到開機自啟動之目的。
同時,病毒釋放出執行盜號工作的文件ticisms.dll和giigeq.dll(此文件名是隨機6位字母)到%WINDOWS%\system32\下,注入系統桌面進程explorer.exe,查找當前系統內是否存在《QQ自由幻想》、《魔獸世界》、《遊戲茶苑》等網路遊戲以及遊戲平臺,如有,則讀取遊戲內存中的帳號和密碼信息,將它們發送到http://www.ck***66.com/wow5566/lin111.asp這個病毒作者指定的地址。
「熱血江湖盜號木馬15981」(Win32.Hack.UpackT.a.15981) 威脅級別:★
這個盜號木馬的目標是網路遊戲《熱血江湖》。它的作案原理並不複雜,但近來傳播趨勢有所增高,毒霸反病毒工程師認為這是有人在故意傳播該毒。
木馬會在電腦系統中釋放出多個病毒文件,分別是%WINDOWS%\system32\目錄下的msepion.sys、xjxr.cfg、xjxr.dll,以及%WINDOWS%\system32\drivers\目錄下的msyecp.sys。
當病毒開始運行,它就把xjxr.dll文件加載到系統進程當中,查找並通過讀取內存的方式來盜取網路遊戲《熱血江湖》的帳號和密碼,然後把盜取到的帳號和密碼通過網頁提交的形式發送到病毒作者指定的網址http://www.******.cn/yblin.asp。http://vi.duba.net/virus/win32-hack-upackt-15981-50608.html
來源:金山毒霸
病毒名稱:Trojan/PSW.OnLineGames.aeox
中 文 名:「網遊竊賊」變種aeox
病毒長度:9874位元組
病毒類型:木馬
危害等級:★
影響平臺:Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.OnLineGames.aeox「網遊竊賊」變種aeox是「網遊竊賊」木馬家族的最新成員之一,採用VC++ 6.0編寫,並經過加殼保護處理。「網遊竊賊」變種aeox運行後,自我插入到被感染計算機的系統「explorer.exe」進程中加載運行,隱藏自我,防止被查殺。修改註冊表,實現木馬開機自動運行。在被感染計算機系統的後臺利用HOOK技術和內存截取等技術盜取網路遊戲《QQ華夏》遊戲玩家的遊戲帳戶、遊戲密碼、倉庫密碼、角色等級等信息,並在後臺將玩家信息發送到駭客指定的遠程伺服器上,致使《QQ華夏》遊戲玩家的遊戲帳號、裝備物品、金錢等丟失,給遊戲玩家帶來非常大的損失。另外,「網遊竊賊」變種aeox還具有反部分安全軟體的功能,防止被安全軟體監視和查殺,大大降低被感染計算機上的安全性。
病毒名稱:Trojan/PSW.Magania.cgs
中 文 名:「瑪格尼亞」變種cgs
病毒長度:125662位元組
病毒類型:木馬
危險級別:★★
影響平臺:Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.Magania.cgs「瑪格尼亞」變種cgs是「瑪格尼亞」木馬家族的最新成員之一,採用Delphi語言編寫,並經過添加保護殼處理。「瑪格尼亞」變種cgs運行後,在「%SystemRoot%\help\」目錄下釋放「B41346EFA848.dll」組件。修改註冊表,實現木馬開機自動運行。採用HOOK技術和內存截取技術,在被感染計算機的後臺秘密監視用戶的鍵盤和滑鼠操作,盜取《黃易群俠傳》、《天堂》、《魔獸世界》等多款網路遊戲玩家的遊戲帳號、遊戲密碼、倉庫密碼、角色等級等信息,並在後臺將玩家信息發送到駭客指定的遠程伺服器上,致使玩家的遊戲帳號、裝備物品、金錢等丟失,給遊戲玩家帶來非常大的損失。另外,「瑪格尼亞」變種cgs還會在被感染計算機上下載更多的惡意程序,給網路遊戲玩家帶來非常大的損失。
病毒名稱:TrojanSpy.KeyLogger.ha
中 文 名:「鍵盤終結者」變種ha
病毒長度:61440位元組
病毒類型:間諜類木馬
危險級別:★★
影響平臺:Win 9X/ME/NT/2000/XP/2003
TrojanSpy.KeyLogger.ha「鍵盤終結者」變種ha是「鍵盤終結者」木馬家族的最新成員之一,採用VC++編寫。「鍵盤終結者」變種ha運行後,自我複製到被感染計算機系統的「%SystemRoot%\system32\_tdiserv_」目錄下,並重命名為「_tdicli_.exe」。通過添加啟動項和添加系統服務兩種方式實現木馬開機自啟動。在C盤和D盤的根目錄下創建「autorun.inf」文件,並在其子目錄「\ms.config」下創建病毒文件「setup.exe」,實現雙擊盤符啟動「鍵盤終結者」變種ha運行。在被感染計算機系統後臺秘密監視用戶的鍵盤輸入,竊取用戶輸入的帳號及密碼等信息,並將機密信息發送到駭客指定的伺服器上,給用戶帶來極大的損失。另外,「鍵盤終結者」變種ha還能判斷用戶的Windows作業系統版本,根據不同的版本釋放相應的惡意驅動程序並加載運行,惡意驅動程序採用RootKit技術隱藏自我,使用戶難以發覺病毒的存在。
病毒名稱:TrojanDropper.Psyme.gkc
中 文 名:「怕米」變種gkc
病毒長度:1464位元組
病毒類型:木馬釋放器
危害等級:★
影響平臺:Win 9X/ME/NT/2000/XP/2003
TrojanDropper.Psyme.gkc「怕米」變種gkc是「怕米」木馬釋放器家族的最新成員之一,採用JavaScript腳本語言編寫,經過加密處理,利用微軟IE瀏覽器「ADODB.Stream」組件的漏洞下載惡意程序,並利用微軟MS06-014漏洞運行惡意程序。「怕米」變種gkc一般內嵌在正常網頁中,如果用戶計算機沒有及時升級修補相應程序模塊的漏洞補丁,那麼當用戶使用瀏覽器訪問帶有「怕米」變種gkc的惡意網頁時,就會在當前用戶計算機的後臺連接駭客指定的遠程伺服器站點,下載惡意程序並在被感染計算機上自動調用運行。其中,所下載的惡意程序可能是網遊木馬、有害程序、後門等,給用戶帶來不同程度的損失。
病毒名稱:TrojanSpy.Banker.krx
中 文 名:「網銀竊賊」變種krx
病毒類型:間諜類木馬
病毒長度:1900544位元組
危險級別:★★
影響平臺:Win 9X/ME/NT/2000/XP/2003
TrojanSpy.Banker.krx「網銀竊賊」變種krx是「網銀竊賊」木馬家族的最新成員之一,採用Delphi語言編寫,並經過加殼處理。「網銀竊賊」變種krx運行後,自我複製到被感染計算機系統指定的文件夾裡。修改註冊表,實現木馬開機自動運行。在被感染計算機的後臺監控用戶的鍵盤和滑鼠操作,竊取用戶輸入的帳號、密碼和網站地址等信息,並將竊取到的機密信息發送到駭客指定的伺服器上。從被感染計算機上搜索有效的郵箱地址,利用被感染的計算機群髮帶毒郵件。在被感染計算機的後臺連接駭客指定站點,下載惡意程序並自動調用運行,大大降低了被感染計算機上的安全性。
病毒名稱:Trojan/CallBeep.Gen
中 文 名:「盜遊賊」變種
病毒長度:16877位元組
病毒類型:木馬
危害等級:★★
影響平臺:Win 9X/ME/NT/2000/XP/2003
Trojan/CallBeep.Gen「盜遊賊」變種是木馬家族的最新成員之一,採用VC++ 6.0編寫,並經過加殼處理。「盜遊賊」變種運行後,在被感染計算機系統的臨時文件夾下釋放惡意驅動文件和惡意DLL組件文件,並將釋放出來的這兩個惡意文件複製到系統%SystemRoot%\system32\目錄下重新命名。修改註冊表,實現木馬開機自動運行。將惡意驅動文件註冊為系統服務,破壞系統「SSDT HOOK」,從而使部分安全軟體的保護功能失效,達到躲避某些安全軟體的防禦和查殺的目的。把惡意DLL組件文件插入到所有用戶級權限的進程中加載運行,隱藏自我,防止被查殺。在被感染計算機系統的後臺利用HOOK技術和內存截取等技術盜取網路遊戲玩家的遊戲帳號、遊戲密碼、倉庫密碼、角色等級等信息,並在後臺將玩家信息發送到駭客指定的遠程伺服器上,致使玩家的遊戲帳號、裝備物品、金錢等丟失,給遊戲玩家帶來非常大的損失。
病毒名稱:Trojan/PSW.Magania.che
中 文 名:「瑪格尼亞」變種che
病毒長度:125662位元組
病毒類型:木馬
危險級別:★★
影響平臺:Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.Magania.che「瑪格尼亞」變種che是「瑪格尼亞」木馬家族的最新成員之一,採用Delphi語言編寫,並經過添加保護殼處理。「瑪格尼亞」變種che運行後,在「%SystemRoot%\help\」目錄下釋放組件文件「B41346EFA848.dll」。修改註冊表,實現木馬開機自啟動。採用HOOK技術和內存截取技術在被感染計算機的後臺監視用戶的鍵盤、滑鼠動作,盜取《黃易群俠傳》、《天堂》、《魔獸世界》等多款網路遊戲玩家的遊戲帳號、遊戲密碼、倉庫密碼、角色等級等信息,並在後臺將玩家信息發送到駭客指定的遠程伺服器上,致使玩家的遊戲帳號、裝備物品、金錢等丟失,給遊戲玩家帶來非常大的損失。另外,「瑪格尼亞」變種che還會在被感染計算機上下載更多的惡意軟體、網遊木馬等,給網路遊戲玩家帶來極大的損失。
病毒名稱:Trojan/PSW.OnLineGames.tse
中 文 名:「網遊竊賊」變種tse
病毒長度:20326位元組
病毒類型:木馬
危害等級:★
影響平臺:Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.OnLineGames.tse「網遊竊賊」變種tse是「網遊竊賊」木馬家族的最新成員之一,採用Delphi語言編寫,並經過加殼保護處理。「網遊竊賊」變種tse運行後,自我插入到被感染計算機的系統「explorer.exe」進程中加載運行,隱藏自我,防止被查殺。修改註冊表,實現木馬開機自動運行。在被感染計算機系統的後臺利用HOOK技術和內存截取等技術盜取網路遊戲《暗黑破壞神》玩家的遊戲帳號、遊戲密碼、倉庫密碼、角色等級等信息,並在後臺將玩家信息發送到駭客指定的遠程伺服器上,致使《暗黑破壞神》玩家的遊戲帳號、裝備物品、金錢等丟失,給遊戲玩家帶來極大的損失。
來源:江民
「線上遊戲竊取者變種NMD (Trojan.PSW.Win32.GameOL. nmd)」病毒:警惕程度★★★,盜號木馬病毒,通過網絡傳播,依賴系統:Windows NT/2000/XP/2003。
這是一個偷遊戲密碼的病毒。病毒運行後會在System32路徑下釋放病毒文件ayTQQTQQ1011.exe和ayTQQTQQ1011.dll,改寫註冊表項實現自啟動。病毒會把動態庫注入到Explorer.exe進程中並查找進程中是否存在遊戲進程,當找到遊戲進程時,把自己注到遊戲進程中,獲取用戶輸入的帳號密碼並發送到指定的網址。運行完畢之後,該病毒還會刪除自身,逃避殺毒軟體的查殺。
「灰鴿子變種BEK(Backdoor.Win32.Gpigeon2007. bek)」病毒:警惕程度★★★,後門病毒,通過網絡傳播,依賴系統:Windows NT/2000/XP/2003。
該病毒運行時會首先將自身拷貝到系統目錄下,並設置成隱藏、系統、只讀屬性。然後病毒會創建系統服務,實現隨系統自啟動。它還會新建IE進程並設置該進程為隱藏,然後將病毒自身插入該進程中。通過在後臺記錄用戶鍵盤操作,病毒會偷取用戶信息和本地系統信息等,並將該信息發送給黑客。如此用戶計算機將被遠程控制,不自主地刪除文件,遠程下載上傳文件,修改註冊表等等,給用戶的計算機和隱私安全帶來很大隱患。
「線上遊戲竊取者變種GDJ (Trojan.PSW.Win32.GameOL. gdj)」病毒:警惕程度★★★,盜號木馬病毒,通過網絡傳播,依賴系統:Windows NT/2000/XP/2003。
這是一個偷遊戲密碼的病毒。病毒運行後會在System32路徑下釋放病毒文件ayTQQTQQ1011.exe和ayTQQTQQ1011.dll,改寫註冊表項實現自啟動。病毒會把動態庫注入到Explorer.exe進程中並查找進程中是否存在遊戲進程,當找到遊戲進程時,把自己注到遊戲進程中,獲取用戶輸入的帳號密碼並發送到指定的網址。運行完畢之後,該病毒還會刪除自身,逃避殺毒軟體的查殺。
來源:瑞星
【來源:】