网游盗贼吞噬密码 窗口偷窥者盯死帐号
http://www.sina.com.cn 2007年12月06日 10:41
中关村在线
作者:中关村在线 张齐
记者近日从金山公司了解到,针对网络游戏的木马越来越多,并且“兼容性”更强,能够捕获多款游戏的帐号密码。
一、“网游盗贼14452”(Win32.Troj.AgentT.fm.14452) 威胁级别:★★
病毒进入电脑系统后,在系统中释放出四个病毒文件,分别为%windows%\system32\目录下的avzxest.exe、avzxemn.dll和avzxein.dll,以及%windows%\Fonts\目录下的mszhasd.fon。然后,它修改系统注册表,将自己的相关信息加入其中,这样以来,以后用户每次启动系统时,它都能跟着自动运行起来。与此同时,它还会破坏注册表中关于系统防火墙和windows自动更新的部分,以延长自己在用户系统中潜伏的时间。
完成以上前期工作后,病毒就开始搜索系统中运行着的ElementClient.exe和TQAT.exe的进程,找到后就将其强行关闭,这样的话,用户就不得不重新登录游戏。别以为它只会搞恶作剧,其实在用户重新登录时,它就会截获游戏帐号和密码,并把它们发送到木马作者指定的地址,造成用户虚拟财产的损失。由于《武林外传》、《诛仙》、《完美世界》、《魔域》、《大话西游》、《机战》、《魔兽世界》等多款游戏中均包含ElementClient.exe和TQAT.exe进程,该木马的影响范围会比较广。
此外,该病毒还具有自我删除和自我保护的功能,当运行后,它会删除源文件,使用户不易发现它,并不停地重写注册表,确保自己的相关信息不被删除。
二、“窗口偷窥者”(Win32.PSWTroj.OnLineGames.156160) 威胁级别:★★
病毒成功运行后,在电脑系统中生成两个病毒文件,分别为%windows%目录下的un.dll和%windows%\system32\目录下的winfun.exe。然后,它修改系统注册表,在其中加入自己的相关信息,使自己能在每次系统开机时随之启动。随后,病毒会强迫其他程序加载自己的病毒文件,利用这些程序的内存空间来运行自己。这样的话,用户就不容易发现它。
在运行过程中,病毒死盯IE窗口,一旦发现用户登录《天堂》、《魔兽世界》、GASH游戏平台、《奇魔》、《RAN Online台湾》、《R2 Online台湾》、《WM Online台湾》等网络游戏的官网,就会伺机截获用户的帐号、密码、身份证、角色名、物品等信息,并将其发送到http://www.a**v***l.com/u***le.asp这个木马作者指定的地址。
除了盗取网游帐号信息外,该病毒还会随时留意雅虎通的窗口,尝试盗取用户的雅虎帐号和密码。此外,“拍卖赢家”(http://www.bidder.cc)网站的帐号信息也在它的目标之中。