科技时代新浪首页 > 科技时代 > 软件 > 病毒与杀毒专区专题 > 正文

新病毒专盗网游密码 还感染所有文件


http://www.sina.com.cn 2006年08月10日 09:13 中关村在线
    作者:中关村在线 边锋

    CNET中国.ZOL 8月10日报道:北京信息安全测评中心、金山毒霸联合发布2006年08月10日热门病毒。今日提醒用户特别注意以下病毒:“游戏密码大盗变种ht”(Troj.PswGame.ht) 和“网游窃听器变种ah”(Troj.Lmir.ah)

    “游戏密码大盗变种ht”(Troj.PswGame.ht)木马病毒,会监视游戏
登陆窗口而截获密码,并将密码提交到到指定的网页。

    “网游窃听器变种ah”(Troj.Lmir.ah)木马病毒,它会盗取传奇、魔兽等游戏帐号和QQ密码,并将盗取的帐号密码提交到指定的网页。

    瑞星全球反病毒监测网截获一个具备感染文件功能的新型盗号病毒,并命名为“穆尼亚(Win32.Munia.a)”病毒。瑞星反病毒专家介绍说,该病毒会释放窃取

网络游戏“传奇”的模块,使玩家的账号、密码等资料丢失。跟其它的盗号病毒不同的是,“穆尼亚”病毒会感染中毒电脑上运行的所有程序文件,并可能导致其中一些软件出现异常。

    http://db.kingsoft.com/(金山毒霸)、http://www.rising.com.cn(瑞星)


“游戏密码大盗变种ht”(Troj.PswGame.ht)    威胁级别:★★

    据金山毒霸反病毒工程师介绍,这是一个盗取网游帐号和密码的木马病毒。病毒被运行后,会生成的文件%SystemRoot%\intenat.exe,并且添加

注册表启动项,该病毒在系统中安装了一个消息钩子以截获键入信息,其申请进程路径是%SystemRoot%\intenat.exe。

“网游窃听器变种ah”(Troj.Lmir.ah)   威胁级别:★

    据金山毒霸反病毒工程师介绍,这是一个盗取传奇,魔兽等网游的帐号信息的木马病毒。病毒被运行后,生成的文件:
%SystemRoot%\system32\rundll32.com
%SystemRoot%\system32\finder.com
%SystemRoot%\finder.com
%SystemRoot%\system32\command.pif
%SystemRoot%\WINLOGON.EXE
%\Program Files%\intern~1\iexplore.com
%\Program Files%\common~1\iexplore.pif
%SystemRoot%\explorer.com
%SystemRoot%\1.com
%SystemRoot%\ExERoute.exe
%D:%\pagefile.pif
%D:%\autorun.inf
%SystemRoot%\system32\MSCONFIG.COM
%SystemRoot%\system32\dxdiag.com
%SystemRoot%\system32\regedit.com
%SystemRoot%\Debug\DebugProgram.exe,修改系统exe文件关联,修改System.ini中的shell项,修改http协议缺省启动程序,修改ftp协议缺省启动程序,修改htmlfile协议缺省启动程序,添加自启动项。该病毒在其他非系统盘建了一个autorun.inf,每次双击这些盘都会再次感染该病毒。

    该病毒在系统装了一个类型为WH_MSGFILTER消息钩子监视传奇、QQ等登陆程序,其申请进程路径是%SystemRoot\WINLOGON.EXE,ExERoute.exe进程会监视并维护WINLOGON.EXE进程。一旦获得帐号密码该病毒就会将这些信息上传到处理网页上。该病毒在系统中做了很强的自我保护。建议电脑用户要升级

杀毒软件和打开防火墙,以防中毒受害。

金山反病毒工程师建议:

    1.请您不要轻易运行从Internet下载后未经杀毒软件处理的文件,强烈建议您先用最新病毒库的毒霸进行扫描,然后决定是否运行。

    2.当操纵者控制用户电脑时,就可直接导致用户的信息被泄露, 为了您系统和个人信息的安全,专家建议用户在打开一个陌生文件时,请用最新病毒库的杀软进行扫描。

根据瑞星技术部门分析,该病毒会在系统目录下释放病毒文件,然后搜索电脑上所有运行的程序,把病毒文件注入到这些程序中。病毒每隔1秒钟搜索一次系统目录,如果被删除则重新复制自己,以保护自己不被杀毒软件查杀。并且,该病毒还会修改系统内核入口指令,使用户在中毒电脑上运行任何程序都会被病毒所感染,这使得该病毒的清除难度极大。

 

    瑞星反病毒专家分析说,这是国内发现的第一个带有感染文件特征的盗号病毒,其编写手法值得注意。该病毒采用大量感染程序文件的手法来进行传播和自我保护,使得杀毒软件对它的清除非常困难。一旦清除不干净,就很可能造成用户的游戏账号丢失、系统运行出现异常等等。

    该病毒的出现,意味着病毒作者们在跟杀毒公司展开技术竞赛。就在上个星期,瑞星还截获到数十个“反常的”恶性病毒,它们专门针对主流杀毒软件进行破坏,甚至导致杀毒时系统出现“蓝屏”、自动重启、死机等状况。

    瑞星反病毒专家表示,尽管近年来未曾出现类似“冲击波”、“震荡波”那样的大规模恶性病毒侵袭,但病毒作者们从来没有放弃过“技术进化”。包括流氓软件侵扰、新型网络钓鱼攻击、多系统平台病毒等一系列新型网络攻击技术开始出现,此次在盗号病毒上加入文件感染功能,不过是网络黑客进行“技术战争”的最新案例。

    针对“穆尼亚”恶性病毒,瑞星杀毒软件2006版已经升级,18.39.22版及更高版本可彻底查杀该病毒。如果用户怀疑自己中毒,请登录http://help.rising.com.cn,通过“在线专家门诊”获得专家的远程救助,也可拨打反病毒急救电话:010-82678800寻求帮助。


发表评论

爱问(iAsk.com)



评论】【论坛】【收藏此页】【 】【多种方式看新闻】【下载点点通】【打印】【关闭




科技时代意见反馈留言板 电话:010-82628888-5595   欢迎批评指正

新浪简介 | About Sina | 广告服务 | 联系我们 | 招聘信息 | 网站律师 | SINA English | 会员注册 | 产品答疑

Copyright © 1996 - 2006 SINA Inc. All Rights Reserved

新浪公司 版权所有