【賽迪網-IT技術報道】「網游盜號木馬152312」(Win32.PSWTroj.OnlineGames.lo.152312),該病毒是《跑跑卡丁車》、《劍俠世界2》、《勁舞團》、《完美世界》等多款網絡遊戲的盜號木馬。病毒運行後會衍生文件至系統目錄下,並修改註冊表生成啟動項.通過注入進程,設置消息監視,截獲用戶的賬號資料並發送到木馬種植者的手上。
「劫持者下載器139378」(Win32.TrojDownloader.Agent.bl.139378),該病毒為一個木馬下載器。病毒運行後複製自身到系統目錄,修改註冊表、添加啟動項,以達到隨機啟動的目的。它會破壞殺毒軟體和安全輔助工具的正常運行,還會使中毒用戶無法進入安全模式下查殺病毒。病毒發作後期,它會下載其它木馬,盜取用戶電腦上的敏感資料。
一、「網游盜號木馬152312」(Win32.PSWTroj.OnlineGames.lo.152312) 威脅級別:★
一個賊好不容易進到別人家裡,他要是只偷一樣東西,肯定覺得虧。盜號木馬也一樣,在毒霸病毒分析師近來處理的盜號木馬中,只針對某一遊戲的木馬,所佔比例明顯減小,取而代之的是可盜取多款遊戲賬號的木馬。
比如昨日分析的這個盜號木馬,它可同時盜取《跑跑卡丁車》、《劍俠世界2》、《勁舞團》、《完美世界》等多款網游的賬號。該病毒進入用戶的電腦後,在系統盤%Program Files%/Common Files/Microsoft Shared/MSInfo/目錄下釋放出SysInfo1.dll、SysInfo1.dll2、wyls.exe這三個病毒文件,並修改註冊表資料,將它們寫入啟動項,實現開機自啟動。
病毒運行後的行為並不複雜,它通過啟動之前生成的病毒主文件 wyls.exe ,將 SysInfo1.dll 注入到系統桌面進程 Explorer.exe 當中,搜尋網絡遊戲《跑跑卡丁車》、《劍俠世界2》、《勁舞團》、《完美世界》的進程,然後建立消息監視,從用戶與遊戲伺服器的通信消息中篩選出用戶的賬號和密碼等信息,並在後台悄悄建立遠程連接,把贓物以網頁提交的方式發送到木馬種植者手中,給用戶造成虛擬財產的損失。
應該說現在大部分的安全軟體,哪怕只是個簡單的安全輔助軟體,都具備處理盜號木馬的能力,但畢竟木馬變種層出不窮,躲避和對抗安全軟體的能力也不斷加強,因此大家仍需提高警惕,比如不要下載未經官方認證的外掛插件、不要輕信要求你提供賬號密碼的網游抽獎活動等。
二、「劫持者下載器139378」(Win32.TrojDownloader.Agent.bl.139378) 威脅級別:★★
可對抗安全軟體和用戶的病毒始終沒逃脫毒霸病毒分析師的視線。在昨日分析的病毒中,毒霸再次發現了這類病毒的身影。
該病毒實際上是一個木馬下載器。它通過修改系統註冊表,實現隨系統啟動而啟動,以便一勞永逸地運行下去。為防止用戶發現自己電腦中出現多餘的文件,它會順便改篡改註冊表中的相關數值,將隱藏文件的顯示模式改為不可見,再把自己的病毒文件設置隱藏模式。同時,它還會破壞 Windows 系統的更新服務,防止系統升級後具備對付它的能力。
遇到系統異常,你也許會想到運行計算機上的「幫助與支持中心服務」功能吧,很遺憾,它已經被病毒破壞了。而如果你試圖手動查殺病毒,會發現系統的網絡地址轉換、尋址、名稱解析、和入侵保護服務,以及監視系統安全設置和配置服務已經被病毒設為禁用,甚至連安全模式也被破壞--病毒不會給你任何查殺它的機會。
也許一些用戶會問:我安裝的安全軟體是幹什麼吃的!?原來,病毒在進入電腦的瞬間,就已經利用「 IFEO 重定向劫持技術」搶先下手,劫持了你的安全軟體。被劫持的安全軟體不但無法正常工作,而且當你運行它們時,只會再次激活病毒。由於病毒的黑名單非常龐大,幾乎所有目前市場上已有的的殺毒軟體和安全輔助軟體都會「中招」。
完成以上步驟後,病毒便連接木馬種植者指定的多個遠程地址,下載木馬程序到用戶電腦上運行。這些木馬程序主要是盜取用戶電腦中的敏感信息,這裡面包括你在任何密碼輸入窗口中輸入的資料,以及看上去像是賬號的字符。
同時,病毒搜索包括USB隨身碟等移動儲存設備在內的所有硬碟分區,在它們的根目錄下釋放出AUTO病毒文件「autorun.inf 」和對應可執行病毒文件「.exe」。只要你雙擊含毒硬碟,病毒就能再次運行起來,重新搜索所有硬碟分區進行感染,從而不斷擴大自己的傳播範圍。
金山反病毒工程師建議
1.最好安裝專業的殺毒軟體進行全面監控,防範日益增多的病毒。用戶在安裝反病毒軟體之後,應將一些主要監控經常打開(如郵件監控、記憶體監控等)、經常進行升級、遇到問題要上報,這樣才能真正保障計算機的安全。
2.由於玩網絡遊戲、利用QQ聊天的用戶數量逐漸增加,所以各類盜號木馬必將隨之增多,建議用戶一定要養成良好的網絡使用習慣,及時升級殺毒軟體,開啟防火牆以及實時監控等功能,切斷病毒傳播的途徑,不給病毒以可乘之機。
(