|
| |
 精品推荐 |
 |
|
| |
|
|
|
|
万能饵料盗号者监视系统并盗号
|
日期:2008年4月4日 作者: 查看:[大字体
中字体 小字体]
|
4月3日:“剑侠盗号木马102400”(Win32.PSWTroj.OnLineGames.102400),这是一个针对网络游戏《剑侠情缘2》的盗号木马。该病毒主要通过网页挂马、文件捆绑等方式传播。它通过远程线程激活病毒代码进行代码注入,盗取《剑侠情缘2》的游戏账号和密码等信息,并以网络收信空间的方式发送给病毒作者。
“万能饵料盗号者”(Win32.PSWTroj.OnLineGames.106496),这是一个危害多款网游的盗号木马程序。该木马会注入到系统桌面进程,监视用户系统中所有包含Game.dll模块的网游程序以及QQ聊天工具,伺机盗取帐号和密码。同时,它还具备一定的对抗杀软能力。
一、“剑侠盗号木马102400”(Win32.PSWTroj.OnLineGames.102400) 威胁级别:★★
如果在玩游戏时遇到突然掉线或程序关闭的情况,建议不要马上重新登录,你所遭遇的不一定是网络故障,而有可能是盗号木马的入侵。在毒霸反病毒工程师长久以来分析过的盗号木马中,有一类木马是通过强行中止游戏的方式来盗号的,近日,这类木马再次出现。
此次分析的这个木马,它会以网页挂马、文件捆绑等方式进入用户电脑系统,在系统盘下释放出两个病毒文件,即%WINDOWS%\目录下的mppds.exe与%WINDOWS%\system32\目录下的mppds.dll。其中mppds.exe是病毒主文件,它会被写入注册表启动项,实现开机自动运行。而mppds.dll则负责盗号工作。
如果顺利运行起来,病毒就把mppds.dll注入桌面进程eXPlorer.exe中,然后悄悄建立远程线程,激活病毒代码,开始遍历进程。如果查找网络游戏《剑侠情缘2》的文件“so2game.exe”,病毒便会将其关闭。当玩家重启游戏后,病毒在游戏内存空间中搜索玩家通过游戏登陆窗口输入的数据,以此获取帐号和密码等信息,并以网络收信空间的方式发送给病毒作者。
二、“万能饵料盗号者”(Win32.PSWTroj.OnLineGames.106496) 威胁级别:★★
这是一个可以危害多款网游的盗号木马。它的作案原理与大多数其它盗号木马一样,都是靠注入游戏进程来作案,但由于它所注入的进程在多款游戏中都有,因此覆盖面较大。
病毒在进入电脑后,在系统盘%windows%目录下释放病毒文件SHAProc.exe,同时在%windows%\system32\目录下释放出SHAProc.dat。然后,病毒把自己的相关数据写入系统注册表,实现自动启动。在这个过程中,它会创建线程监视是否有杀毒软件卡巴斯基的警告框弹出,如果有则关闭。
运行起来后,病毒创建单独的线程,监视用户系统,查找并注入Game.dll模块,读取帐号和密码数据。由于多款网游都具有Game.dll文件,受到影响的网游会比较多。根据毒霸反病毒工程师的统计,目前含有Game.dll的各款网游中,《魔兽争霸》的玩家较多,因此,该款游戏的的玩家需要特别留意。
此外,除盗取网游帐号外,该病毒也会监视QQ聊天工具的进程,伺机盗取帐号密码。不过如果已经安装了毒霸,就不必担心了。
金山反病毒工程师建议
1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
上一篇:360声明 千千静听存在安全漏洞
下一篇:认清防火墙评测与管理
|
| 万能饵料盗号者监视系统并盗号 相关文章: |
|
|
|
| 万能饵料盗号者监视系统并盗号 相关软件: |
|
|
|
|
