【賽迪網-IT技術報道】「夢幻西遊盜號者17408」(PE.Win32.PSWTroj.OnLineGames.17408),這是一個盜號木馬程序。該程序會盜取網絡遊戲《夢幻西遊》的賬號信息,並下載其它病毒至受害電腦上運行。
「網銀劫匪183808」(Win32.Expiro.b.183808),這是一個盜竊購物網站賬號以及網銀密碼的木馬。它會監視用戶瀏覽記錄,如果發現用戶當前正在瀏覽ebay等購物網站以及網上銀行,就會展開鍵盤記錄,盜取用戶輸入的敏感信息。
一、「夢幻西遊盜號者17408」(PE.Win32.PSWTroj.OnLineGames.17408) 威脅級別:★
這是一個「常規」的盜號木馬,不具備對抗安全軟體的能力,但它會下載其它木馬到電腦中充當幫兇,盡可能多地「搾取」用戶電腦中的敏感信息。
病毒在系統中釋放出大量的病毒文件,主要隱藏在%WINDOWS%/Temp/目錄和%WINDOWS%/system32/目錄下。文件釋放完畢後,病毒篡改系統註冊表,創建大量的病毒啟動項,實現開機自啟動。
接著,病毒注入系統進程services.exe中,並加載釋放出的病毒文件 MSDEG32.DLL 和mhsha1.dat,通過搜索《夢幻西遊》的進程「MY.EXE」、查找名字為「夢幻西遊」的遊戲窗口的方法找到遊戲主程序。一旦發現目標,病毒就會通過記憶體讀寫的方式竊取玩家的賬號信息,並將其發送到http://www.r****wd.com/c**/、http://www.5****1.com等多個由木馬作者指定的遠程伺服器。
如果以為它偷完東西就完事,那可錯了。該病毒還會連接遠程伺服器,下載其它木馬文件安裝至本地計算機,試圖盜取更多的敏感資料。不過只要安裝了毒霸,就不用擔心它的這些小動作了。
二、「網銀劫匪183808」(Win32.Expiro.b.183808) 威脅級別:★★
盜號木馬作者不會僅僅滿足於盜竊網游賬號,只要有足夠的利潤驅動,他們會更願意直接對你的銀行賬號下手,畢竟銀行賬號裡的是現錢。從毒霸反病毒工程師統計到的資料看,下面這個盜號木馬和它的一系列變種在近期有較高的作案可能。
這個木馬是利用感染正常文件來進行傳播的。如果用戶運行被感染的文件,病毒就會被激活,開始搜尋正常文件。它會先將正常文件複製一份,以.ivr結尾,感染完畢後再將其刪除。被感染的文件,會被加上.data 、.text、.bss、.data等後綴。
感染,只是為了不斷擴張自己的傳播範圍,該病毒真正的盜號行為是在記憶體中進行。它被激活後,會不斷搜索用戶當前的瀏覽記錄,如果監視到用戶正在瀏覽ebay等購物網站及網銀,就會展開鍵盤記錄,記下用戶敲入的賬號、密碼等敏感信息,然後發送到木馬作者指定的地址。
金山反病毒工程師建議
1.最好安裝專業的殺毒軟體進行全面監控,防範日益增多的病毒。用戶在安裝反病毒軟體之後,應將一些主要監控經常打開(如郵件監控、記憶體監控等)、經常進行升級、遇到問題要上報,這樣才能真正保障計算機的安全。
2.由於玩網絡遊戲、利用QQ聊天的用戶數量逐漸增加,所以各類盜號木馬必將隨之增多,建議用戶一定要養成良好的網絡使用習慣,及時升級殺毒軟體,開啟防火牆以及實時監控等功能,切斷病毒傳播的途徑,不給病毒以可乘之機。
(