• 軟體損壞資料救援
    誤分割、誤格式化、誤ghost、駭客攻擊、PQ調整失敗等...
  • 硬體損壞資料救援
    電路板芯片燒壞,不認碟、碟體書寫錯誤等...
  • 伺服器資料救援
    磁碟陣列RAID0 、RAID1、RAID1+0、NAS、SAN 、JBO
  • 筆電資料救援
    東芝、日立、邁拓、三星、富士通、昆騰、筆記型等...
  • RAID資料救援
    對RAID0、RAID1、RAID1E、RAID5E、RAID6等救援...
  • 硬碟資料救援
    IDE、SCSI、S-ATA介面的IBM、易拓,昆騰硬碟,移動硬碟...
目前位置: 首頁 > 新聞中心 > 儲存設備

盜號木馬粗心大意 輸錯進程與同夥衝突

【賽迪網-IT技術報道】「雁過留聲盜號器118784」(Win32.PSWTroj.OnLineGames.118784),這是一個盜號木馬程序。該病毒修改註冊表實現自動啟動,然後在IE瀏覽器的後面創造一個IE伺服器,以此截獲用戶瀏覽網頁時輸入的各種賬號和密碼,達到盜號目的。

「天龍笨賊94304」(Win32.Troj.GamesHackT.gu.94304),這是一個針對網游《天龍八部》的盜號木馬。它會通過創建系統服務啟動,啟動後先關閉某些安全軟體的進程,然後盜取遊戲賬號和密碼。

一、「雁過留聲盜號器118784」(Win32.PSWTroj.OnLineGames.118784) 威脅級別:★★

為了盜號,病毒作者的總是想出各種各樣的方法。由於殺毒軟體對遊戲和聊天工具等軟體的進程實行嚴厲監視,木馬已經越來越難以通過注入進程的方式盜號,於是一些病毒作者開始在截獲用戶對外通訊信息方面打主意。昨日毒霸反病毒工程師就捕獲到這樣一個病毒。

該病毒通過網頁掛馬和捆綁文件等方式混進用戶電腦,將病毒文件MSetole.dll和serve.exe隱藏在系統盤的%WINDOWS%/system32/目錄下,然後修改系統註冊表,把它們的相關資料寫入啟動項,實現開機自啟動。如果檢查註冊表,可發現這兩個啟動項名稱分別為ImagePath和ActiveService,不注意的話,很容易被忽視。

接下來,就該盜號了。木馬冒充 Internet Explorer_Server,創建IE伺服器,在用戶與真正的伺服器之間建立監視。當發現用戶通過IE發出賬號和密碼時,就被它截取了一次,從而實現盜號。盜竊成功後,贓物會以網頁報表的形式發送到病毒作者指定的遠程地址。由於普通用戶在上網時需要用到的大部分賬號和密碼都是通過IE發送,此病毒也就成了一個「通吃」型盜號木馬,需要警惕。

二、「天龍笨賊94304」(Win32.Troj.GamesHackT.gu.94304) 威脅級別:★

這是一個具備對抗安全軟體功能的盜號木馬,不過只能對付少數安全輔助軟體,對毒霸等殺毒軟體無效。

病毒進入電腦後,將病毒文件gnolnait.cfg和gnolnait.dll釋放到系統盤的%WINDOWS%/system32/目錄下,並在%WINDOWS%/system32/drivers/目錄下釋放出一個mselk.sys文件。接著,它會試圖查找並關閉360安全衛士、QQ醫生等安全輔助軟體,不過由於病毒作者的粗心,輸錯了進程,這一次360得以倖免於難。

同時,病毒修改系統註冊表啟動項,使自己實現開機自啟動,並與運行後查找並結束系統上的Game.exe 進程。雖然病毒只會盜取《天龍八部》遊戲的賬號信息,可是由於許多遊戲都含有以Game.exe命名的文件,因此,還是會有不少遊戲被關閉的。當用戶重新進入遊戲時,病毒就通過監視用戶在賬號和密碼框中的輸入,竊取到賬號信息。

此外,該病毒還有「黑吃黑」的舉動,它為保證自己的運行正常,會在 %WINDOWS%/system32/目錄下搜索是否存在一個名為mseion.sys 文件,如果找到就將它刪除。經毒霸反病毒工程師的分析,這是另一個網頁木馬文件,與該病毒會有一定的衝突。

金山反病毒工程師建議

1.最好安裝專業的殺毒軟體進行全面監控,防範日益增多的病毒。用戶在安裝反病毒軟體之後,應將一些主要監控經常打開(如郵件監控、記憶體監控等)、經常進行升級、遇到問題要上報,這樣才能真正保障計算機的安全。

2.由於玩網絡遊戲、利用QQ聊天的用戶數量逐漸增加,所以各類盜號木馬必將隨之增多,建議用戶一定要養成良好的網絡使用習慣,及時升級殺毒軟體,開啟防火牆以及實時監控等功能,切斷病毒傳播的途徑,不給病毒以可乘之機。

(

加入好友line@vga9721w
線上客服
@hd119