扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
“大胃王盗号者31500”(PE.Win32.PSWTroj.OnLineGames.ai.57344),这是一个可同时盗取多款网游账号的盗号木马。它通过将DLL文件注入游戏进程后读取内存的方式作案,作案对象是所有含有“游戏”字样的窗口的游戏进程。
一、“热血江湖盗号者94304”(Win32.Troj.GamesHackT.gu.94304) 威胁级别:★
病毒作者为提高病毒制作的效率,通常都会使用自动生成器。完全一样的一段病毒代码,只要稍微修改几个进程名称,就能得到多个病毒。我们在3月27日的病毒预警播报中,曾报道过一个英文名称与本篇预警中的病毒相同的“天龙笨贼”,它们两个很明显就是由同一个病毒生成器制作出来的同名变种。
这个木马通过悄悄记录用户输入数据的方式盗取网络游戏《热血江湖》密码。它用户系统中运行起来后,会通过查找窗口类名与窗口标题名的方法,找到《热血江湖》的游戏进程Client.exe,然后检验进程的命令行,确认是否真的为作案目标。如果确定,它就会立即关闭游戏进程。
大多数正在玩着游戏的用户,遇到这种情况,一定是马上重新登录游戏。但这样一来,就正好中了病毒作者的全套。他的目的就是趁用户再次登录时,记录下用户输入的账号和密码。
为阻止安全软件查杀,病毒在进入电脑后会抢先关闭360安全卫士、QQ医生、killer_Gdwli32.exe专杀工具、AntiArp.exe防火墙等安全辅助软件,它的某些变种还会试图攻击毒霸,不过经检验,对毒霸无效。习惯手动查杀的用户,可在系统盘的%WINDOWS%\system32\目录下找到病毒文件xjxr.dll、xjxr.cfg,以及mseion.sys。
二、“大胃王盗号者57344”(PE.Win32.PSWTroj.OnLineGames.ai.57344) 威胁级别:★
这个盗号木马的作案目标非常之广,所有在进程窗口中包含有“游戏”字样的网络游戏,都是它的作案对象,只要它能在用户电脑中顺利运行起来,便可以如同大胃王一般将用户电脑中的游戏账号悉数吞吃。
病毒在进入系统后立即在系统盘中释放出两个病毒文件,分别为%WINDOWS%\目录下的winform.exe和%WINDOWS%\temp\目录下的winform.dll。其中winform.exe是病毒的主文件,它的相关数据会被写入系统注册表,以实现开机自启动。而winform.dll则负责注入系统桌面进程,在其中查找进程窗口中带有“游戏”字样的程序,如果发现,就注入游戏的内存空间,读取账号和密码数据。习惯手动查杀的用户,请留意这两个文件,只要删除它们,再清理干净注册表,就能清除该毒了。
作案成功后,账号信息会被发送到病毒作者指定的地址,给用户造成虚拟财产的损失。不过由于技术含量不高,大部分安全软件都可以查杀它。不过,由于此类病毒近日出现频率较高,因此发出预警,向广大用户作为通报。
金山反病毒工程师建议
1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。