提醒玩家:近日网游盗号木马病毒播报

17173提醒广大玩家朋友在玩网络游戏前,请务必装好防火墙以及防木马病毒的监察软件和杀毒。

“完美小偷69897”(Win32★

网游盗号木马依旧层出不穷,这个病毒就是一个网游盗号木马。它在进入系统后,会将自己的病毒文件释放到系统盘中,分别是%WINDOWS%目录下的tciocp64.exe,以及%WINDOWS%system32目录下的tciocp64.dll。其中tciocp64.exe是病毒主文件,病毒会将它的相关数据写入系统注册表,启动项,以便达到开机自启动之目的,而tciocp64.dll是用来执行盗号的文件。

病毒将tciocp64.dll注入系统进程后,搜索是否安装得有网络游戏《完美世界》,如有,则建立消息监视,从用户与游戏服务器之间的,通讯信息中过滤出游戏账号和密码,然后把它们通过网页提交的方式发送到http://www.***.cn/tIyn***jhg/pasnt.asp这个由病毒作者安排好的网址中,给用户造成虚拟财产的损失。

毒霸反病毒工程师还发现,该病毒具有自我删除功能。在运行完毕后,它就删除自身原始文件,使得用户无法发现系统中出现了多余的文件。

“网游盗号木马397312”(Win32.Troj.vaklik.397312) 威胁级别:★

这个下载器比较“聪明”,它根据用户电脑上安装游戏的不同,来下载相应的盗号木马,从而提高作案成功率。

病毒在进入系统后,会枚举当前系统内进程,当发现指定安全工具进程,便强行结束这些进程,该病毒的黑名单中包含了主流的多款杀毒软件,但经毒霸反病毒工程师检查,由于技术含量不高,病毒的这一攻击无法成功。

同时,病毒创建线程监视系统窗口,如果发现杀毒软件弹出提示窗口,通过发送关闭消息和模拟鼠标点击来使杀软放行。

习惯手动查杀的用户,可在系统%windows%Fonts目录下找到病毒释放的文件codoor0.dll。该文件创建时间设置的和系统文件explorer.exe一致,以隐藏自身。文件还会被用来在注入explorer.exe进程,监视系统内的游戏进程,将信息记录到%WINDOWS%system32目录下的game.ini文件中。

然后,病毒连接病毒作者指定的服务器,上传游戏信息,根据游戏进程的不同,服务器会提供下载相应的盗号木马,执行盗号行为。

“完美世界盗号木马98304”(Win32.RiskWare.AgentT.m.98304) 威胁级别:★

这个盗号木马在执行盗号之前,会先搜索杀入软件卡巴斯基和瑞星的进程,将它们的主动防御提示关闭,使得它们即便探测到系统受到入侵,也无法向用户报告。

接着,病毒删除自己的原始文件,销毁证据,让用户不易发现电脑里出现多余的文件。同时,它注入系统桌面进程exrplorer.exe,搜寻网络游戏《完美世界》的进程,注入其中,读取游戏内存,从中获取游戏帐号和密码,并发给病毒作者,给用户带来虚拟财产的损失。

习惯手动杀毒的用户,可在系统盘中找到病毒释放出的两个文件,分别为%WINDOWS%目录下的cmdbcs.exe,以及%WINDOWS%system32目录下的cmdbcs.dll,前者是病毒主文件,会被写入注册表启动项,使病毒实现开机自启动。而后者是用来注入进程,执行盗号的文件。

“线上游戏窃取者变种NGA (Trojan.PSW.Win32.GameOL. nga)”病毒:警惕程度★★★,盗号木马病毒,通过网络传播,依赖系统:Windows NT/2000/XP/2003。

这是一个偷游戏密码的病毒。病毒运行后会在System32路径下释放病毒文件ayTQQTQQ1011.exe和ayTQQTQQ1011.dll,改写注册表项实现自启动。病毒会把动态库注入到Explorer.exe进程中并查找进程中是否存在游戏进程,当找到游戏进程时,把自己注到游戏进程中,获取用户输入的账号密码并发送到指定的网址。运行完毕之后,该病毒还会删除自身,逃避杀毒软件的查杀。

“线上游戏窃取者变种IN(Trojan.PSW.Win32.GameOL.in)”病毒:警惕程度★★★,木马病毒,通过网络传播,依赖系统:Windows NT/2000/XP/2003。

这是一个VC语言编写的木马病毒。病毒运行后会首先将系统的扬声器设置成静音,避免杀毒软件和安全工具发出警告声响,并试图关闭杀毒软件和安全工具。然后病毒将自身复制到系统目录下,修改注册表启动项实现开机自启动。同时,病毒还会加载到所有进程中,在后台监视和窃取用户网游帐号密码等信息,并发送到黑客指定网站,使玩家蒙受损失。

“安德夫木马变种FXV(Trojan.Win32.Undef. fxv)”病毒:警惕程度★★★,木马病毒,通过网络传播,依赖系统:Windows NT/2000/XP/2003。

这是一个木马病毒。病毒运行后会将自身文件复制到系统目录下,并修改注册表启动项,实现随系统自启动。病毒会将自身注入到系统正常进程,给用户查杀病毒带来困难。此外,病毒会试图关闭多种杀毒软件和安全工具,并会纪录用户键盘和鼠标操作,窃取用户的网游账号、密码等隐私信息,并发送给黑客,使玩家蒙受损失。

病毒名称:Exploit.HTML.IframeBof.ac

中 文 名:“Iframe溢出者”变种ac。

病毒长度:4818字节

病毒类型:脚本病毒

危险级别:★★

影响平台:Win 9X/ME/NT/2000/XP/2003。

Exploit.HTML.IframeBof.ac“Iframe溢出者”变种ac是“Iframe溢出者”脚本病毒家族的最新成员之一,采用javascript脚本语言编写,并且经过加密处理,利用搜索工具条软件的漏洞传播其它病毒。“Iframe溢出者”变种ac一般内嵌在正常网页中,如果用户没有及时升级修补,搜索工具条软件相应的漏洞补丁,那么当用户使用浏览器访问带有“Iframe溢出者”变种ac的恶意网页时,就会在当前用户计算机的后台连接骇客指定站点,下载大量恶意程序并在被感染计算机上自动调用运行。所下载的恶意程序可能为是网游木马、恶意广告程序、后门等,给用户带来不同程度的损失。另外,用户一旦打开带有“Iframe溢出者”变种ac的恶意网页时,还会弹出广告窗口,干扰用户的正常工作和上网。

病毒名称:Trojan/PSW.Moshou.ata

中 文 名:“魔兽”变种ata。

病毒长度:91136字节

病毒类型:木马

危险级别:★★

影响平台:Win 9X/ME/NT/2000/XP/2003。

Trojan/PSW.Moshou.ata“魔兽”变种ata是“魔兽”木马家族的最新成员之一,采用高级语言编写,并经过加壳处理。“魔兽”变种ata运行后,在被感染计算机的“%SystemRoot%system32”目录下释放病毒组件和恶意驱动程序。该驱动程序利用高级ROOTKIT技术隐藏自我,防止被查杀。修改注册表,实现木马开机自动运行。在被感染计算机的系统后台盗取网络游戏《魔兽世界》玩家的游戏帐号、游戏密码、仓库密码、角色等级等信息,并在后台将玩家信息发送到骇客指定的远程服务器上,致使《魔兽世界》游戏玩家的游戏帐号、装备物品、金钱等丢失,给游戏玩家带来非常大的损失。用户计算机系统一旦感染该病毒,则很难清除干净。另外,“魔兽”变种ata还可以查找并强行关闭多款安全软件,极大地降低被感染计算机的安全性。

病毒名称:Trojan/PSW.OnLineGames.ackj

中 文 名:“网游窃贼”变种ackj。

病毒长度:12341字节

病毒类型:木马

危害等级:★

影响平台:Win 9X/ME/NT/2000/XP/2003。

Trojan/PSW.OnLineGames.ackj“网游窃贼”变种ackj是“网游窃贼”木马家族的最新成员之一,采用VC++ 6.0编写,并经过加壳保护处理。“网游窃贼”变种ackj运行后,将DLL组件程序插入到被感染计算机系统的“explorer.exe”等进程中加载运行,隐藏自我,防止被查杀。修改注册表,实现木马开机自动运行。在被感染计算机系统的后台利用hook技术和内存,截取等技术盗取网络游戏《QQ华夏》玩家的游戏帐号、游戏密码、仓库密码、角色等级等信息,并在后台将玩家信息发送到骇客指定的远程服务器上,致使《QQ华夏》玩家的游戏帐号、装备物品、金钱等丢失,给游戏玩家带来非常大的损失。

病毒名称:Trojan/PSW.Magania.cfw

中 文 名:“玛格尼亚”变种cfw。

病毒长度:119102字节

病毒类型:木马

危险级别:★★

影响平台:Win 9X/ME/NT/2000/XP/2003。

Trojan/PSW.Magania.cfw“玛格尼亚”变种cfw是“玛格尼亚”木马家族的最新成员之一,采用Delphi语言编写,并经过添加保护壳处理。“玛格尼亚”变种cfw运行后,在“%SystemRoot%help”目录下释放组件“F3C74E3FA248.dll”。修改注册表,实现木马开机自动运行。采用HOOK技术和内存截取技术,在被感染计算机的后台秘密监视用户的键盘和鼠标操作,盗取《黄易 侠传》、《天堂》、《魔兽世界》等多款网络游戏玩家的游戏帐号、游戏密码、身上装备、背包装备、角色等级、游戏区服、计算机名称等信息,并在后台将玩家信息发送到骇客指定的远程服务器上,致使网络游戏玩家的游戏帐号、装备物品、金钱等丢失,给游戏玩家带来非常大的损失。另外,“玛格尼亚”变种cfw还会在被感染的计算机上下载更多的恶意软件、网游木马,给网络游戏玩家带来非常大的损失。

病毒名称:Trojan/PSW.GameDLL.Gen

中 文 名:“游戏窃贼”变种

病毒长度:可变

病毒类型:木马

危害等级:★

影响平台:Win 9X/ME/NT/2000/XP/2003。

Trojan/PSW.GameDLL.Gen“游戏窃贼”变种是木马家族的最新成员之一,采用高级语言编写,并经过加壳保护处理。“游戏窃贼”变种运行后,自我插入到被感染计算机系统的“explorer.exe”进程中加载运行,隐藏自我,防止被查杀。修改注册表,实现木马开机自动运行。在被感染计算机系统的后台利用hook技术和,内存截取等技术盗取《热血江湖》、《罗汉》等多款网络游戏玩家的游戏帐号、游戏密码、仓库密码、角色等级、金钱数量、所在区服等信息,并在后台将玩家信息发送到骇客指定的远程服务器上,致使玩家的游戏帐号、装备物品、金钱等丢失,给游戏玩家带来非常大的损失。

病毒名称:Trojan/Agent.abbx

中 文 名:“代理木马”变种abbx。

病毒长度:12011字节

病毒类型:木马

危险级别:★★

影响平台:Win 9X/ME/NT/2000/XP/2003。

Trojan/Agent.abbx“代理木马”变种abbx是“代理木马”木马家族的最新成员之一,采用VC++编写,并经过添加保护壳处理。“代理木马”变种abbx运行后,自我复制到被感染计算机系统的“%SystemRoot%system32”目录下。自我注册为系统服务,实现木马开机自动运行。将恶意代码注入到“explorer.exe”或者“winlogon.exe”进程并调用运行,以躲避某些杀毒软件的查杀以及防火墙的拦截。连接骇客指定的服务器站点,侦听骇客指令,对某一IP地址发送大量数据包进行洪水攻击、停止攻击、从指定地址下载恶意程序并运行等。所下载的恶意程序可能包含网游木马、恶意广告程序、后门等,给用户带来不同程度的损失。

病毒名称:I-Worm/Zhelatin.bmm

中 文 名:“哲拉蒂”变种bmm。

病毒长度:123754字节

病毒类型:网络蠕虫

危害等级:★

影响平台:Win 9X/ME/NT/2000/XP/2003。

I-Worm/Zhelatin.bmm“哲拉蒂”变种bmm是“哲拉蒂”网络蠕虫家族的最新成员之一,采用高级语言编写,并经过添加保护壳处理。“哲拉蒂”变种bmm运行后,自我复制到被感染计算机系统的“%SystemRoot%”目录下,并重命名为“noskrnl.exe”。修改注册表,实现“哲拉蒂”变种bmm开机自动运行。从被感染的计算机上搜索有效的邮箱地址,利用被感染计算机 发带毒邮件。在后台连接骇客指定站点,下载恶意程序并在被感染计算机上自动调用运行。其中,所下载的恶意程序可能是网游木马、广告程序(流氓软件)、后门等,给被感染计算机用户带来不同程度的损失。

病毒名称:Trojan/PSW.Ganhame.b

中 文 名:“甘哈拇”变种b

病毒长度:189440字节

病毒类型:木马

危险级别:★★

影响平台:Win 9X/ME/NT/2000/XP/2003。

Trojan/PSW.Ganhame.b“甘哈拇”变种b是“甘哈拇”木马家族的最新成员之一,采用Delphi语言编写。“甘哈拇”变种b运行后,在“%SystemRoot%system32”目录下释放恶意驱动程序并加载运行,破坏部分安全软件的监控功能,大大降低被感染计算机的安全性。在“%SystemRoot%system32drivers”目录下释放病毒组件并插入到所有用户的进程中,隐藏自身、防止被查杀。修改注册表,实现木马开机自动运行。在后台秘密监视正在运行的进程,一旦发现网络游戏《地下城与勇士》客户端程序正在运行,“甘哈拇”变种b可能用自带的图片伪造登录窗口,诱导玩家输入游戏帐号、游戏密码,从而窃取《地下城与勇士》游戏玩家的游戏帐号、游戏密码、仓库密码、角色等级等信息,并在后台将玩家信息发送到骇客指定的远程服务器上,致使玩家的游戏帐号、装备物品、金钱等丢失,给游戏玩家带来非常大的损失。

病毒名称:Trojan/PSW.OnLineGames.aeon

中 文 名:“网游窃贼”变种aeon。

病毒长度:19868字节

病毒类型:木马

危害等级:★

影响平台:Win 9X/ME/NT/2000/XP/2003。

Trojan/PSW.OnLineGames.aeon“网游窃贼”变种aeon是“网游窃贼”木马家族的最新成员之一,采用VC++ 6.0编写,并经过加壳保护处理。“网游窃贼”变种aeon运行后,自我插入到被感染计算机的系统“explorer.exe”进程中加载运行,隐藏自我,防止被查杀。修改注册表,实现木马开机自动运行。在被感染计算机系统的后台利用hook技术和内存,截取等技术盗取网络游戏《传奇》游戏玩家的游戏帐户、游戏密码、仓库密码、角色等级等信息,并在后台将玩家信息发送到骇客指定的远程服务器上,致使玩家的游戏帐号、装备物品、金钱等丢失,给游戏玩家带来非常大的损失。

病毒名称:TrojanSpy.KeyLogger.uh

中 文 名:“键盘终结者”变种uh。

病毒长度:326748字节

病毒类型:间谍类木马

危险级别:★★

影响平台:Win 9X/ME/NT/2000/XP/2003。

TrojanSpy.KeyLogger.uh“键盘终结者”变种uh是“键盘终结者”木马家族的最新成员之一,采用Delphi语言编写,并经过加壳处理。“键盘终结者”变种uh运行后,自我复制到系统盘的“Program FilesCommon FilesMicrosoft SharedMSInfo”目录下,重新命名为“alert.exe”(属性设置为“系统隐藏”)。将其注册为系统服务,实现木马开机自动运行。启动“IEXPLORE.EXE”程序,将病毒代码注入其中运行,隐藏自我,防止被查杀。在后台秘密监视被感染计算机上是否有移动存储设备,一旦发现便在移动存储设备根目录下创建“autorun.inf”文件和木马主程序文件,实现双击盘符启动“键盘终结者”变种uh运行。秘密监视用户打开的窗口标题,窃取用户输入的网络游戏、网络银行以及即时通讯工具的账号、密码等信息,并将机密信息发送到骇客指定的服务器上,给用户带来极大的损失。另外,“键盘终结者”变种uh可能与骇客指定的服务器建立网络连接,侦听骇客的指令进行恶意操作,致使被感染的计算机被骇客远程完全控制,严重威胁用户计算机信息安全。

病毒名称:Worm/AutoRun.ahk

中 文 名:“U盘寄生虫”变种ahk。

病毒长度:140036字节

病毒类型:蠕虫

危险级别:★★

影响平台:Win 9X/ME/NT/2000/XP/2003。

Worm/AutoRun.ahk“U盘寄生虫”变种ahk是“U盘寄生虫”蠕虫家族的最新成员之一,采用高级语言编写,并经过加壳处理。“U盘寄生虫”变种ahk运行后,在被感染计算机系统的“%SystemRoot%system32”目录下释放病毒文件“kavo.exe”和恶意组件“kavo0.dll”。修改注册表,实现蠕虫开机自动运行。将“kavo0.dll”插入到所有用户级权限的进程中加载运行,隐藏自我,防止被查杀。破坏注册表,致使“显示隐藏文件”功能失效。在被感染计算机各个盘符根目录下创建“autorun.inf”文件和蠕虫主程序文件(文件名随机生成),并且监视移动存储设备,一旦发现被感染计算机有新的移动存储设备时病毒,便在其根目录下创建“autorun.inf”文件和蠕虫主程序文件,实现双击盘符启动“U盘寄生虫”变种ahk病毒程序运行的目的。另外,“U盘寄生虫”变种ahk还会在被感染计算机后台秘密窃取网络,游戏玩家的游戏帐号、游戏密码、仓库密码、角色等级等信息,并在后台将玩家信息发送到骇客指定的远程服务器上,致使玩家的游戏帐号、装备物品、金钱等丢失,给游戏玩家带来非常大的损失。

欢迎转载,请注明来源:http://www.semantic-ui.cn/a/16779.html

评论列表: (共0条评论)

发表评论:

◎欢迎参与讨论,请在这里发表您的看法、 您的观点。