扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
"征途盗号者14452"(Win32.Troj.AgentT.fm.14452)这是一个征途游戏盗号木马。木马将其释放的dll文件注册为系统组件以实现开机自动行,会关闭Windows的自动更新以及Windows防火墙,通过读取游戏内存空间的方式盗取游戏的账号信息。
"腐败之盗"(Win32.Troj.OnlineGames.fb)这是一个盗号木马释放的DLL文件,该木马能够盗取多款网络游戏账号。使用了基于SPI的DLL木马技术来进行木马进程的隐藏。
一、"征途盗号者14452"(Win32.Troj.AgentT.fm.14452) 威胁级别:★
该病毒成功运行后,会在system32下生成rsztfpm.dll、rsztfsp.exe、rsztffg.dll病毒文件,并且在%WINDOWS%\FONT下生成gezeand.fon,最后会在网络工具NETMEETING中生成*.cfg病毒文件。病毒修改了注册表项,将rsztfpm.dll注入到系统进程,会实现开机随着explorer.exe系统文件的启动而触发病毒。同样通过修改注册表,关闭Windows的自动更新,关闭系统自带的防火墙,使用户的系统安全性能降低。当rsztfpm.dll进程监控到用户打开“征途”游戏进程时,通过读取内存的方式进行盗号操作,使用户的网络虚拟财产受到威胁。
二、"腐败之盗"(Win32.Troj.OnlineGames.fb) 威胁级别:★★
该病毒是一个盗号器,盗取的游戏种类众多,包括有
征途(Z_T)梦幻(MH)大话(DH)大话3(DH3)风云(FY)
幻想(HX) 魔兽(MS) 魔域(MY) 问道(WD) QQ幻想(QQHX)
奇迹(QJ 天龙(TL) 完美(WM) 国际(GJ) 武林(WL)
诛仙(zx) 传奇(CQ) QQ QQ三国(QQSG) GZGD
DJ LRTW TX CHD EVE
JZ BF WMTW GE PTYJ
SHQZ
等多款网络游戏,可以说是一个非常全面的盗号木马,由此可见危害的群体是非常广泛。该病毒会遍历进程,寻找sqmapi32.dll,找到该进程,则提升权限,开辟空间,创建远程线程,即建立与远程联系的后门。该木马使用了基于SPI的DLL木马技术来进行木马进程的隐藏,主要实现是利用在每个操作系统中都有系统网络服务,它们是在系统启动时自动加载。这种木马的特点是只需安装一次,而后就会被自动加载到可执行文件的进程中,还有一个特点就是它会被多个网络服务加载。通常在系统关闭时,系统网络服务才会结束,所以木马程序同样可以在系统运行时保持激活状态。
金山反病毒工程师建议
1.最好安装专业的杀毒软件进行全面监控。建议用户安装反病毒软件防止日益增多的病毒,用户在安装反病毒软件之后,应该经常进行升级、将一些主要监控经常打开(如邮件监控、内存监控等),遇到问题要上报, 这样才能真正保障计算机的安全。
2.玩网络游戏、利用QQ聊天的用户会有所增多,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。