• 軟體損壞資料救援
    誤分割、誤格式化、誤ghost、駭客攻擊、PQ調整失敗等...
  • 硬體損壞資料救援
    電路板芯片燒壞,不認碟、碟體書寫錯誤等...
  • 伺服器資料救援
    磁碟陣列RAID0 、RAID1、RAID1+0、NAS、SAN 、JBO
  • 筆電資料救援
    東芝、日立、邁拓、三星、富士通、昆騰、筆記型等...
  • RAID資料救援
    對RAID0、RAID1、RAID1E、RAID5E、RAID6等救援...
  • 硬碟資料救援
    IDE、SCSI、S-ATA介面的IBM、易拓,昆騰硬碟,移動硬碟...
目前位置: 首頁 > 新聞中心 > 病毒防護

大胃王盜號者悉數吞吃所有網絡遊戲賬號

【賽迪網-IT技術報道】「熱血江湖盜號者94304」(Win32.Troj.GamesHackT.gu.94304),這是一個針對網絡遊戲《熱血江湖》的盜號木馬。它由一個病毒生成器自動生成,通過迫使用戶重新登錄遊戲的方法,暗中記錄用戶輸入的賬號和密碼。此外,它還具有一定的對抗能力,會破壞部分安全軟體的正常運行。

「大胃王盜號者31500」(PE.Win32.PSWTroj.OnLineGames.ai.57344),這是一個可同時盜取多款網游賬號的盜號木馬。它通過將DLL文件注入遊戲進程後讀取記憶體的方式作案,作案對象是所有含有「遊戲」字樣的窗口的遊戲進程。

一、「熱血江湖盜號者94304」(Win32.Troj.GamesHackT.gu.94304) 威脅級別:★

病毒作者為提高病毒製作的效率,通常都會使用自動生成器。完全一樣的一段病毒代碼,只要稍微修改幾個進程名稱,就能得到多個病毒。我們在3月27日的病毒預警播報中,曾報道過一個英文名稱與本篇預警中的病毒相同的「天龍笨賊」,它們兩個很明顯就是由同一個病毒生成器製作出來的同名變種。

這個木馬通過悄悄記錄用戶輸入資料的方式盜取網絡遊戲《熱血江湖》密碼。它用戶系統中運行起來後,會通過查找窗口類名與窗口標題名的方法,找到《熱血江湖》的遊戲進程Client.exe,然後檢驗進程的命令行,確認是否真的為作案目標。如果確定,它就會立即關閉遊戲進程。

大多數正在玩著遊戲的用戶,遇到這種情況,一定是馬上重新登錄遊戲。但這樣一來,就正好中了病毒作者的全套。他的目的就是趁用戶再次登錄時,記錄下用戶輸入的賬號和密碼。

為阻止安全軟體查殺,病毒在進入電腦後會搶先關閉360安全衛士、QQ醫生、killer_Gdwli32.exe專殺工具、AntiArp.exe防火牆等安全輔助軟體,它的某些變種還會試圖攻擊毒霸,不過經檢驗,對毒霸無效。習慣手動查殺的用戶,可在系統盤的%WINDOWS%/system32/目錄下找到病毒文件xjxr.dll、xjxr.cfg,以及mseion.sys。

二、「大胃王盜號者57344」(PE.Win32.PSWTroj.OnLineGames.ai.57344) 威脅級別:★

這個盜號木馬的作案目標非常之廣,所有在進程窗口中包含有「遊戲」字樣的網絡遊戲,都是它的作案對象,只要它能在用戶電腦中順利運行起來,便可以如同大胃王一般將用戶電腦中的遊戲賬號悉數吞吃。

病毒在進入系統後立即在系統盤中釋放出兩個病毒文件,分別為%WINDOWS%/目錄下的winform.exe和%WINDOWS%/temp/目錄下的winform.dll。其中winform.exe是病毒的主文件,它的相關資料會被寫入系統註冊表,以實現開機自啟動。而winform.dll則負責注入系統桌面進程,在其中查找進程窗口中帶有「遊戲」字樣的程序,如果發現,就注入遊戲的記憶體空間,讀取賬號和密碼資料。習慣手動查殺的用戶,請留意這兩個文件,只要刪除它們,再清理乾淨註冊表,就能清除該毒了。

作案成功後,賬號信息會被發送到病毒作者指定的地址,給用戶造成虛擬財產的損失。不過由於技術含量不高,大部分安全軟體都可以查殺它。不過,由於此類病毒近日出現頻率較高,因此發出預警,向廣大用戶作為通報。

金山反病毒工程師建議

1.最好安裝專業的殺毒軟體進行全面監控,防範日益增多的病毒。用戶在安裝反病毒軟體之後,應將一些主要監控經常打開(如郵件監控、記憶體監控等)、經常進行升級、遇到問題要上報,這樣才能真正保障計算機的安全。

2.由於玩網絡遊戲、利用QQ聊天的用戶數量逐漸增加,所以各類盜號木馬必將隨之增多,建議用戶一定要養成良好的網絡使用習慣,及時升級殺毒軟體,開啟防火牆以及實時監控等功能,切斷病毒傳播的途徑,不給病毒以可乘之機。

(

加入好友line@vga9721w
線上客服
@hd119