• 軟體損壞資料救援
    誤分割、誤格式化、誤ghost、駭客攻擊、PQ調整失敗等...
  • 硬體損壞資料救援
    電路板芯片燒壞,不認碟、碟體書寫錯誤等...
  • 伺服器資料救援
    磁碟陣列RAID0 、RAID1、RAID1+0、NAS、SAN 、JBO
  • 筆電資料救援
    東芝、日立、邁拓、三星、富士通、昆騰、筆記型等...
  • RAID資料救援
    對RAID0、RAID1、RAID1E、RAID5E、RAID6等救援...
  • 硬碟資料救援
    IDE、SCSI、S-ATA介面的IBM、易拓,昆騰硬碟,移動硬碟...
目前位置: 首頁 > 新聞中心 > 儲存設備

病毒假冒遊戲登錄器 騙取玩家密碼賬號

【賽迪網-IT技術報道】「QQ偽裝盜號者163840」(Win32.PSWTroj.QQPass.xw.163840),該病毒是針對QQ即時聊天工具的盜號木馬。病毒運行後會釋放偽裝成系統桌面進程的病毒文件,修改註冊表增加啟動項,然後通過記憶體讀取的方式盜取密碼,並把密碼發送到木馬種植者的手上。

「熱血江湖偽裝登錄器458752」(Win32.PSWTroj.OnLineGames.ni.458752),這是一個會盜竊網絡遊戲《熱血江湖》賬號的木馬程序。它運行後會替換掉網游《熱血江湖》的啟動文件,讓用戶通過病毒偽裝的啟動文件進入遊戲,從而盜取系統上的賬號信息,並發送給木馬作者。

一、「QQ偽裝盜號者163840」(Win32.PSWTroj.QQPass.xw.163840) 威脅級別:★

今天首先需要介紹的是一個QQ盜號木馬。據毒霸反病毒工程師的監測,此木馬以及它的若干變種在近日大量增加。整體來看,該毒的技術含量並不高,毒霸、清理專家以及大部分其它安全軟體都能將其查殺,但基於病毒流行趨勢的需要,我們依然發出預警播報。

該毒在進入用戶系統後,會將病毒文件explorer.exe和systemlr.dll釋放到系統盤的%WINDOWS%/system32/目錄下,其中的explorer.exe是病毒主文件,它的資料會被寫入註冊表啟動項,以實現開機自啟動,由於名字偽裝成與系統桌面進程一樣,會給用戶造成一定的迷惑。而systemlr.dll則是用來執行盜號的,習慣手動殺毒的用戶一定要刪除這兩個文件。

在順利運行起來後,病毒就將systemlr.dll注入到桌面進程中,搜尋並注入QQ的進程,通過記憶體讀取的方式盜取密碼,並把密碼發送到木馬種植者指定的郵箱中。病毒作者獲得用戶的QQ號後,會洗走用戶的Q幣,並向用戶的好友發送含有掛馬網頁地址的鏈接,傳播各類其它盜號木馬。

二、「熱血江湖偽裝登錄器458752」(Win32.PSWTroj.OnLineGames.ni.458752) 威脅級別:★

這個木馬會利用假冒的遊戲登錄器來收集《熱血江湖》玩家的賬號信息。

病毒利用網頁掛馬和捆綁文件等方法進入用戶系統後,會釋放出3個病毒文件,分別為%windows%目錄下的BO.exe、%WINDOWS%/System32/目錄下的terple.sys和sperls.dll,其中BO.exe是病毒主文件,它會被寫入系統註冊表啟動項,實現開機自啟動。

木馬會把dll文件注入系統進程explorer.exe和Client.exe中,展開全局監視,在系統中搜尋 「yb_sync.dll」和「yb_mem.dll"」兩個文件的所在路徑。它們是《熱血江湖》的文件,只要發現了它們,病毒就能夠判定用戶電腦中安裝了它想下手的目標。

接下來,病毒就找到遊戲目錄,將登錄程序 launcher.exe 重命名為 launchar.exe,並設置 為「系統」和「隱藏」,再將之前生成的病毒文件 BO.exe 複製到遊戲目錄下偽裝成 launcher.exe。這樣一來,用戶就會把病毒當作正常的登錄器來運行。

當用戶用這個假冒的登錄器登錄遊戲時,病毒就被啟動,它注入遊戲進程的記憶體,讀取賬號信息並發送至木馬作者指定的接收網址。與此同時,它會調用那個被藏起來的真正登錄器,為用戶執行登錄。再加上運行完畢後,病毒會執行自我刪除程序,刪掉自己的原始文件,這樣一來,用戶就完全無法察覺系統的異常。

金山反病毒工程師建議

1.最好安裝專業的殺毒軟體進行全面監控,防範日益增多的病毒。用戶在安裝反病毒軟體之後,應將一些主要監控經常打開(如郵件監控、記憶體監控等)、經常進行升級、遇到問題要上報,這樣才能真正保障計算機的安全。

2.由於玩網絡遊戲、利用QQ聊天的用戶數量逐漸增加,所以各類盜號木馬必將隨之增多,建議用戶一定要養成良好的網絡使用習慣,及時升級殺毒軟體,開啟防火牆以及實時監控等功能,切斷病毒傳播的途徑,不給病毒以可乘之機。

(

加入好友line@vga9721w
線上客服
@hd119