【賽迪網-IT技術報道】「熱血江湖盜號木馬23040」(Win32.Troj.PswGame.mc.23040),這是一個針對網絡遊戲《熱血江湖》的盜號木馬。它會關閉安全軟體的提示窗口,然後注入系統桌面進程,查找並盜取遊戲賬號,發送至指定的接收網址。
「QQ隱身盜號者48250」(Win32.Troj.OnlineGamesT.vx.48250),這是一個盜號木馬程序。該木馬程序會盜取QQ即時聊天工具和QQ遊戲的賬戶信息,並將這些信息發送至木馬種植者指定的網址。
一、「熱血江湖盜號木馬23040」(Win32.Troj.PswGame.mc.23040) 威脅級別:★
與這一段時間以來造成巨大影響的磁碟機、機器狗等下載器相比,傳統的單一盜號木馬已顯得毫無技術性可言,不過這不代表對它們就可以放鬆警惕。毒霸反病毒工程師們不止一次地發出過警告:對抗殺軟已成為許多傳統木馬的必修課。
這個盜號木馬的犯罪對象是《熱血江湖》。病毒作者針對殺毒軟體卡巴斯基和瑞星,賦予了它一定的對抗能力。病毒進入電腦後,創建線程查找卡巴斯基和瑞星的監視警告窗口。如果找到,則模擬鼠標點擊「允許」和「跳過」按鈕操作。
同時,它釋放文件rxso.exe和rxso0.dll到系統臨時目錄,將rxso.exe的資料寫入註冊表啟動項,實現開機自啟動。並在運行起來後將rxso.dll注入遊戲,讀取賬號與密碼,發送到http://www.661***69.com/rx 這個由病毒作者安排的郵箱中,給用戶造成虛擬財產的損失。
二、「QQ隱身盜號者48250」(Win32.Troj.OnlineGamesT.vx.48250) 威脅級別:★
盜取即時通訊軟體,是目前眾多木馬傳播中重要的一環。通過偷來的QQ、MSN等即時通訊軟體,病毒作者可以向被盜用戶的好友發送大量含有掛馬網址、含毒文件等資料,出於對好友的信任,大多數用戶會毫不猶豫地點擊鏈接或接收文件。這樣依賴,木馬就實現了快速的傳播。
毒霸反病毒工程師日前分析的這個病毒,就是個盜取QQ號的木馬。該木馬程序搜索VerCLsId.exe、explorer.exe等多個系統進程,注入其中,利用它們的空間運行自己,實現隱蔽作案。接著,它查找系統中是否存在QQ的進程qq.exe,如果有,則監視窗口QQ號和密碼的輸入框,進程中讀取相關賬號信息。
同時,該木馬程度會搜集用戶信息,如用戶名、計算機名等,將它們和偷到的QQ號一起,以指定的格式發送至病毒作者指定的遠程地址http://f**eid.*0.5**ns.com/bobo2/up2.asp。
病毒作者掌握QQ號後,可能會賣掉吉利的號碼,然後將其它號碼用作木馬傳播。如果發現自己的QQ號被盜,大家一定要立即通知好友注意,並向騰訊報告,以盡可能挽回和減少損失。
金山反病毒工程師建議
1.最好安裝專業的殺毒軟體進行全面監控,防範日益增多的病毒。用戶在安裝反病毒軟體之後,應將一些主要監控經常打開(如郵件監控、記憶體監控等)、經常進行升級、遇到問題要上報,這樣才能真正保障計算機的安全。
2.由於玩網絡遊戲、利用QQ聊天的用戶數量逐漸增加,所以各類盜號木馬必將隨之增多,建議用戶一定要養成良好的網絡使用習慣,及時升級殺毒軟體,開啟防火牆以及實時監控等功能,切斷病毒傳播的途徑,不給病毒以可乘之機。
(