不支持Flash

网游盗号木马抬头 海神号堪比集结号

http://www.sina.com.cn 2008年01月22日 10:20  中关村在线
    作者:张齐

    大多数学生都已经进入寒假假期,在家玩游戏成为许多同学打法时间的方式。但随着网络游戏的热度增高,针对网游的木马也越发猖狂。其中又以网游盗号木马最为明显。

    同样另外一款针对《传奇》、《梦幻西游》等网络游戏的下载者海神号病毒也开始发作,影响力堪比火热大片《集结号》,提醒广大网友小心。

    “网游盗号木马102400”(Win32.Troj.OnlineGames.py.102400),这是一个针对多款网络游戏的盗号木马。它会通过读取内存的方式盗取用户的游戏帐号信息,并且关闭卡巴斯基及瑞星的警告窗口,阻止卡巴和瑞星向用户报告系统中的异常。
 
    “下载者海神号976896”(Win32.TrojDownloader.Small.hs.976896),这是一个下载者病毒。该病毒运行后会立即修改系统时间的年份为2001年,使依赖系统时间的杀软失效,大大降低用户系统的安全性。同时,它从网络上下载大量盗号木马。当用户在浏览网页的时候,会发觉速度缓慢,那是因为系统资源被病毒所占用和操控。并且,关机时,中毒电脑会“卡死”在关机画面。

    一、“网游盗号木马102400”(Win32.Troj.OnlineGames.py.102400)  威胁级别:★

    病毒进入电脑系统后,会将自身文件DbgHlp32.exe复制到系统盘的%WINDOWS%目录下,同时修改系统注册表的相关数据,将自己设置为随系统启动而启动。接着,病毒读取自身的配置资源,并在%WINDOWS%目录下生成病毒文件DbgHlp32.dll。

    这个dll文件对病毒的犯罪有着重要的作用。它将该文件注入系统桌面的进程explorer.exe,展开全局监视,不断搜索如果检测网络游戏《剑侠情缘2》、《大话西游3》、《破天一剑》、《征服》、《QQ华夏》、《魔域》以及“浩方”对战平台的主程序,一旦发现,立刻通过读取游戏内存的方式获取用户的帐号密码等信息。

    如果成功得手,病毒就会在用户无法知晓的情况下建立远程连接,将偷得的信息发送到http://www.n*ud*d.com/这个由木马种植者安排好的地址,给用户造成虚拟财产的损失。此外,该盗号者具备自删除的功能,运行完毕后会创建批处理程序删除自己的原始文件,令用户无法找到病毒源。

    此外,病毒在盗取游戏帐号信息时,还会紧盯卡巴斯基和瑞星和进程,如发现它们试图弹出提示框警告用户,就会抢先将其关闭,使用户无法知道系统中的异常。

    二、“下载者海神号976896”(Win32.TrojDownloader.Small.hs.976896)  威胁级别:★★

    病毒进入电脑系统后,会立即修改系统时间为“2001”年,使得那些依赖系统时间进行激活和升级的软件全部失效。其中当然也包括“卡巴斯基”等安全软件。失去安全软件保护的电脑,会很容易受到外部恶意程序的攻击。

    如果用户检查系统启动项,会发现多出了两个路径在%windows%目录下的项目,分别为338448M.exe和338448W.exe,它们便是病毒文件。

    病毒运行后,分别在%WINDOWS%\temp\、%WINDOWS%system32\、%windows%、%WINDOWS%\Drivers\等目录下生成海量的EXE、DLL格式的病毒文件,该些文件主要作用是盗号。盗号的范围包括《传奇》、《梦幻西游》、“QQ”等热门网游及即时聊天软件。如果用户试图靠查看任务管理器来找出木马,会可以发现病毒已经令“用户名”一列的内容消失,使得用户无法辨别哪些是系统进程、哪些是用户自己打开的进程、哪些是病毒进程,造成用户的迷惑。

    由于系统资源被病毒大量占用,打开软件或程序时,都会感到速度明显缓慢。当用户试图关闭系统时,甚至会出现电脑卡死在“正在保存设置……”画面的情况。

发表评论 _COUNT_条
Powered By Google
不支持Flash
·《对话城市》直播中国 ·新浪特许频道免责公告 ·企业邮箱换新颜 ·邮箱大奖等你拿
不支持Flash
不支持Flash