“网游内存盗号者65536”(Win32.PSWTroj.OnLineGames.65536),这是一个可同时盗取多个网络游戏账号的盗号木马。它通过修改注册表启动项实现开机自启动,作案目标是《魔兽世界》、《赤壁》和《茶苑游戏大厅》的账号信息。
“投机份子下载器”(Win32.TrojDownloader.agent.d.27648),这是一个典型的木马下载器程序。病毒运行后从网上下载其它木马病毒文件到用户机器上执行,其中的一些文件会被伪装成系统相关文件,试图骗过用户。
一、“网游内存盗号者65536”(Win32.PSWTroj.OnLineGames.65536) 威胁级别:★
这是一个原理很普通的盗号木马,之所以发出预警是该病毒的传播量有所增高。这个木马会通过建立全局监视的办法,盗取网络游戏《魔兽世界》、《赤壁》和《茶苑游戏大厅》的账号信息。
它通过网页挂马和下载器的帮助进入用户的电脑系统后,在系统盘%WINDOWS%目录下释放出病毒主文件mfchlp32.exe,在%WINDOWS%\system32\目录下释放出用来执行盗号的文件mfchlp32.dll,然后就修改系统注册表,把主文件的相关信息加入其中,实现开机自启动。
如果成功开始运行,病毒就枚举系统上的进程,把mfchlp32.dll注入系统桌面explorer.exe 的进程空间,在系统上展开全局监视,搜索《魔兽世界》、《赤壁》和《茶苑游戏大厅》的进程,发现后注入其中,通过内存读取的方式获得用户的账号密码,然后发送给病毒作者。
病毒中含有一个地址http:/ /www.ck***66.com/cy876/lin111.asp?&ie=##,经毒霸反病毒工程师检查,该地址是病毒作者指定的远程服务器,当病毒盗窃成功后,就会悄悄把赃物发送过去。
二、“投机份子下载器”(Win32.TrojDownloader.agent.d.27648) 威胁级别:★
这个病毒是一个下载器,它的原理也很简单。但毒霸反病毒工程师发现,在最近出现的一些具有对抗杀软能力的下载器下载名单中,这个下载器频频出现,看来下载器们也已开始采取互相合作。
该病毒在进入用户系统后,把自身复制到系统盘%WINDOWS%\system32\目录下,改名为liveupdate.exe。并复制系统中的文件URLMON.DLL,将它改名为lo.dll,也放到%WINDOWS%\system32\目录下。这个urlmon.dll是WINDOWS系统中关于对象链接和嵌入的模块,病毒会利用它来实现自己的一些动作。
接着,病毒会试图在注册表中添加自启动项,但是由于自身有错误,它并不能成功随系统启动。按照病毒作者原先的想法,当它成功运行起来后,就会从指定的地址http://www.lai****.com.cn/img/下载其它木马病毒并运行,病毒作者安排好的文件多达22个,名称为svrhost.exe,kavpro.exe,xia01.exe-xia20.exe,如果下载成功,它们会被藏在%WINDOWS%\system32\目录下。
“掌”握科技鲜闻 (微信搜索techsina或扫描左侧二维码关注)
