“网游盗号木马152312”(Win32.PSWTroj.OnlineGames.lo.152312),该病毒是《跑跑卡丁车》、《剑侠世界2》、《劲舞团》、《完美世界》等多款网络游戏的盗号木马。病毒运行后会衍生文件至系统目录下,并修改注册表生成启动项.通过注入进程,设置消息监视,截获用户的账号资料并发送到木马种植者的手上。
“劫持者下载器139378”(Win32.TrojDownloader.Agent.bl.139378),该病毒为一个木马下载器。病毒运行后复制自身到系统目录,修改注册表、添加启动项,以达到随机启动的目的。它会破坏杀毒软件和安全辅助工具的正常运行,还会使中毒用户无法进入安全模式下查杀病毒。病毒发作后期,它会下载其它木马,盗取用户电脑上的敏感资料。
一、“网游盗号木马152312”(Win32.PSWTroj.OnlineGames.lo.152312) 威胁级别:★
一个贼好不容易进到别人家里,他要是只偷一样东西,肯定觉得亏。盗号木马也一样,在毒霸病毒分析师近来处理的盗号木马中,只针对某一游戏的木马,所占比例明显减小,取而代之的是可盗取多款游戏帐号的木马。
比如昨日分析的这个盗号木马,它可同时盗取《跑跑卡丁车》、《剑侠世界2》、《劲舞团》、《完美世界》等多款网游的帐号。该病毒进入用户的电脑后,在系统盘%Program Files%\Common Files\Microsoft Shared\MSInfo\目录下释放出SysInfo1.dll、SysInfo1.dll2、wyls.exe这三个病毒文件,并修改注册表数据,将它们写入启动项,实现开机自启动。
病毒运行后的行为并不复杂,它通过启动之前生成的病毒主文件 wyls.exe ,将 SysInfo1.dll 注入到系统桌面进程 Explorer.exe 当中,搜寻网络游戏《跑跑卡丁车》、《剑侠世界2》、《劲舞团》、《完美世界》的进程,然后建立消息监视,从用户与游戏服务器的通信消息中筛选出用户的账号和密码等信息,并在后台悄悄建立远程连接,把赃物以网页提交的方式发送到木马种植者手中,给用户造成虚拟财产的损失。
应该说现在大部分的安全软件,哪怕只是个简单的安全辅助软件,都具备处理盗号木马的能力,但毕竟木马变种层出不穷,躲避和对抗安全软件的能力也不断加强,因此大家仍需提高警惕,比如不要下载未经官方认证的外挂插件、不要轻信要求你提供帐号密码的网游抽奖活动等。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅:http://vi.duba.net/virus/win32-pswtroj-onlinegames-lo-152312-50476.html
二、“劫持者下载器139378”(Win32.TrojDownloader.Agent.bl.139378) 威胁级别:★★
可对抗安全软件和用户的病毒始终没逃脱毒霸病毒分析师的视线。在昨日分析的病毒中,毒霸再次发现了这类病毒的身影。
该病毒实际上是一个木马下载器。它通过修改系统注册表,实现随系统启动而启动,以便一劳永逸地运行下去。为防止用户发现自己电脑中出现多余的文件,它会顺便改篡改注册表中的相关数值,将隐藏文件的显示模式改为不可见,再把自己的病毒文件设置隐藏模式。同时,它还会破坏 Windows 系统的更新服务,防止系统升级后具备对付它的能力。
遇到系统异常,你也许会想到运行计算机上的“帮助与支持中心服务”功能吧,很遗憾,它已经被病毒破坏了。而如果你试图手动查杀病毒,会发现系统的网络地址转换、寻址、名称解析、和入侵保护服务,以及监视系统安全设置和配置服务已经被病毒设为禁用,甚至连安全模式也被破坏——病毒不会给你任何查杀它的机会。
也许一些用户会问:我安装的安全软件是干什么吃的!?原来,病毒在进入电脑的瞬间,就已经利用“ IFEO 重定向劫持技术”抢先下手,劫持了你的安全软件。被劫持的安全软件不但无法正常工作,而且当你运行它们时,只会再次激活病毒。由于病毒的黑名单非常庞大,几乎所有目前市场上已有的的杀毒软件和安全辅助软件都会“中招”。
完成以上步骤后,病毒便连接木马种植者指定的多个远程地址,下载木马程序到用户电脑上运行。这些木马程序主要是盗取用户电脑中的敏感信息,这里面包括你在任何密码输入窗口中输入的数据,以及看上去像是帐号的字符。
同时,病毒搜索包括U盘等移动存储设备在内的所有磁盘分区,在它们的根目录下释放出AUTO病毒文件“autorun.inf ”和对应可执行病毒文件“.exe”。只要你双击含毒磁盘,病毒就能再次运行起来,重新搜索所有磁盘分区进行感染,从而不断扩大自己的传播范围。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅:http://vi.duba.net/virus/win32-trojdownloader-agent-bl-139378-50477.html |
