網絡盜號者監控網絡遊戲通信截取賬號密碼

【賽迪網-IT技術報道】「破天盜號木馬18620」（Win32.PSWTroj.OnlineGames.ku.18620），該病毒是網絡遊戲《破天一劍》的盜號木馬。病毒運行後會衍生病毒文件至系統目錄下，並添加註冊表增加啟動項，注入進程.把截獲到的賬號和密碼等信息通過網頁提交的方式發送到木馬種植者手上。

「大話西遊3盜號者37008」（Win32.Troj.OnlineGamesT.nr.37008），這是《大話西遊3》的盜號木馬。它運行後，會查找360安全衛士、「killer_Gdwli32.exe專殺器」等安全軟體的進程，將其強行關閉。然後監視系統中是否有《大話3》的進程文件xymain.bin，如果有則注入其中，盜取玩家網游賬號密碼等信息。

一、「破天盜號木馬18620」（Win32.PSWTroj.OnlineGames.ku.18620） 威脅級別：★

這是一個普通的盜號木馬，不具備對抗殺軟的能力，作案原理也簡單。還不需毒霸，單憑清理專家這樣的安全輔助軟體都可以輕易查殺它。不過，但凡是盜號木馬，都是值得提高警惕的。

這個木馬針對的是網絡遊戲《破天一劍》，它可以通過網頁掛馬、捆綁正常文件等方式進入電腦。病毒會在系統盤中釋放出兩個病毒文件，分別為%WINDOWS%根目錄下的SSLDyn.exE，以及%WINDOWS%/system32/目錄下的SSLDyn.dll。前者是病毒的主文件，病毒通過將它的資料寫入註冊表啟動項實現開機自啟動，而後者是負責盜號的程序。

完成文件釋放後，病毒刪除自己的原始文件，使得用戶不易發現它。然後，它把DLL文件注入到Explorer.exe進程和《破天一劍》當中，建立消息監視程序，從用戶與遊戲伺服器的通信中篩選出遊戲賬號和密碼等信息，以網頁提交的方式發送到木馬種植者指定的網址http://www.ks*****8.cn/tiddcs014/cxd.asp，使得用戶遭受虛擬財產的損失。

二、「大話西遊3盜號者37008」（Win32.Troj.OnlineGamesT.nr.37008） 威脅級別：★

病毒在系統盤下釋放出五個病毒文件，分別是%WINDOWS%/system32/目錄下的3auhad.cfg、3auhad.dll、msepion.sys、msepion.vxd，以及%WINDOWS%/system32/drivers/下的msacpe.sys。其中，3auhad.dll和msepion.sys的相關資料會被病毒寫入註冊表啟動項，實現開機自啟動。

隨系統開機啟動後，病毒注入到桌面進程Explorer.exe ，啟動單獨的線程來監控360安全衛士、「killer_Gdwli32.exe專殺器」等安全工具的進程，並將它們強行關閉，掃除自己罪案過程中的障礙。然後，它搜索系統中是否有《大話西遊3》的進程文件xymain.bin，如果有，病毒就注入其中，盜取玩家網游賬號密碼等信息。

在病毒的代碼中，含有http://c*r.3wt***x*z.com?&pin=%s&r=%***=%s&m=%d&mb=%d

這樣一個地址，根據毒霸反病毒工程師的分析，這個網址就是木馬種植者用於接收贓物的地址。

金山反病毒工程師建議

1.最好安裝專業的殺毒軟體進行全面監控，防範日益增多的病毒。用戶在安裝反病毒軟體之後，應將一些主要監控經常打開（如郵件監控、記憶體監控等）、經常進行升級、遇到問題要上報，這樣才能真正保障計算機的安全。

2.由於玩網絡遊戲、利用QQ聊天的用戶數量逐漸增加，所以各類盜號木馬必將隨之增多，建議用戶一定要養成良好的網絡使用習慣，及時升級殺毒軟體，開啟防火牆以及實時監控等功能，切斷病毒傳播的途徑，不給病毒以可乘之機。

(