科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道网游大盗坚挺 广告插件彰显“流氓”风范

网游大盗坚挺 广告插件彰显“流氓”风范

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

提到流氓软件,很多朋友都深受其害,不过在2007年流氓插件稍显“低调”。不过记者最近从金山毒霸方面获得最新消息:一种BHO广告插件开始传播,具备广告模式的新木马出现了。

作者:论坛整理 来源:zdnet网络安全 2008年1月13日

关键字: 盗号木马 广告 流氓软件

  • 评论
  • 分享微博
  • 分享邮件
   提到流氓软件,很多朋友都深受其害,不过在2007年流氓插件稍显“低调”。不过记者最近从金山毒霸方面获得最新消息:一种BHO广告插件开始传播,具备广告模式的新木马出现了。

    “BHO广告插件83456”(Win32.ADA.a.83456),这是一个广告插件木马。该木马运行后,复制自身到系统文件夹,擅自修改注册表注册表中添加BHO浏览器加载项,造成IExlpore.exe启动时会弹出广告。此木马还具备自动更新功能。
 
    “网游大盗95744”(Win32.PSWTroj.OnlineGames.95744),这是一个盗取《剑侠情缘2》、《破天一剑》、《征服》、《卓越之剑》以及“浩方对战平台”等游戏和软件帐号的木马变种。它运行后首先会循环查找并试图关闭杀毒软件“卡巴斯基”的报警和提示的窗口。然后展开全局监视,伺机窃取用户的帐号信息,并回传到木马投放者指定的网址。

    一、“BHO广告插件83456”(Win32.ADA.a.83456)  威胁级别:★★

    病毒在电脑中运行起来后,会在系统盘的%WINDOWS%\system32\目录下释放出一个随机命名的.dll格式病毒文件。然后在不告知用户的情况下修改注册表,将BHO(Browser Help Objects浏览器辅助插件)的相关数据写入浏览器中,并将自己设为随系统启动而启动。

    当电脑重新启动后,病毒就会注入到系统桌面进程Explorer.exe中,并不时弹出木马作者指定的广告,如果用户不小心点击,就会被立即引导到广告网站,为该站点“贡献”流量。如果这些广告网站上被挂有木马程序,用户电脑的系统安全就会处于危险之中。

    此外,病毒还会悄悄建立远程连接,从木马作者指定的地址“http://i**p*n.y**ames.com/ie**wn/down”下载升级文件,实现自动更新。

    二、“网游大盗95744”(Win32.PSWTroj.OnlineGames.95744)  威胁级别:★★

    病毒进入用户系统后,在系统盘%WINDOWSt%目录下释放出病毒文件NAVMon32.exE和NAVMon32.dll,并将自己的相关数据写进注册表启动项,实现随系统启动而自动运行之目的。

    如果顺利运行起来,病毒就将之前生成的dll文件注入到系统桌面进程explorer.exe中,展全局监视。如果发现了《剑侠情缘2》、《破天一剑》、《征服》、《卓越之剑》等网络游戏,以及“浩方”对战平台的进程,就立即注入其中,通过读取游戏住程序内存的方式,获取用户的帐号信息。

    得手之后,病毒在用户无法知晓的情况下建立远程连接,将偷到的帐号信息发送至木马投放者指定的网址“http://www.n**dvd.com/m**g*en/lin.asp”,给用户造成虚拟财产的损失。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章