近日网游盗号木马病毒播报

[ 2008-06-16 01:45:00 | 作者: Admin ] 字号: | |
以下是近日最新出现的网游盗号病毒:

  “网游盗号木马61440”(Win32.Troj.OnlineGameT.nc.61440) 威胁级别:★

  此病毒属于一个比较老的木马家族,但它的变种一直层出不穷。此篇预警播报中的变种在技术上与以前的版本没有什么不同,但它所袭击的电脑数量却较高。毒霸反病毒工程师认为这与它借助对抗型下载器传播有一定关系。

  病毒进入用户电脑后,在系统盘中释放出两个病毒文件,分别是%WINDOWS%\目录下的fmsjhif.exe,以及%WINDOWS%\system32\目录下的fmsjhif.dll,前者是病毒主文件,会被写入注册表启动项,以实现自动启动。而后者是用来执行盗号工作的文件。

  当成功运行起来,病毒就搜索《热血江湖》、《魔兽世界》和“游戏茶苑大厅”的进程,将fmsjhif.dll注入其中,读取帐号和密码信息。然后发送给病毒作者指定的地址。

  “传奇2盗号木马65536”(Win32.PSWTroj.OnLineGames.65536) 威胁级别:★

  这个盗号木马针对的是《传奇2》的帐号和密码。它可以利用捆绑文件和下载器帮助的方式传播,当进入用户系统后,就会释放出病毒文件。

  释放出病毒文件kcomx32.dll和kcomx32.exe,其中kcomx32.exe是病毒主文件,它的相关数据会被写入系统注册表,帮助病毒实现开机自启动。而kcomx32.dll则会被用来执行盗号工作。

  当病毒运行起来后,它就会搜索游戏的进程,然后注入其中,通过读取游戏进程内存的方式来获得帐号和密码,然后用网页提交的方式将它们发送到http://www.*******.cn/xintiancq/post.asp这个由病毒作者指定的远程地址。给用户造成虚拟财产的损失。

  “网游盗号木马90412”(Win32.Troj.PatchMainT.ty.90412) 威胁级别:★

  这个病毒是一个网游盗号木马的变种,病毒作者对它进行了指令加花,试图感染病毒分析人员的工作。不过毒霸依然可以查杀它。

  该病毒进入用户电脑后,释放出两个病毒文件,分别为%WINDOWS%目录下的issms32.exe和%WINDOWS%\system32\目录下的issms32.dll,其中前者是病毒主文件,它会被写入系统注册表,令病毒实现开机自启动。而那个DLL文件则用于执行盗号工作。

  当病毒顺利的运行起来,它就将issms32.dll 注入 系统桌面的进程explorer.exe 中,搜寻《魔兽世界》和“游戏茶苑大厅”的进程,读取其游戏内存中的数据,从而盗取帐号和密码信息,并将它们发送到病毒作者指定的远程地址。给游戏玩家造成虚拟财产的损失。

  “网游盗号木马69713”(Win32.Troj.GameOnlineT.fx.69713) 威胁级别:★

  这个盗号木马可同时盗取网络游戏《QQ三国》和“茶苑游戏大厅”游戏平台的帐号。

  它进入系统后,在系统盘的%WINDOWS%目录下释放出一个.exe文件,在%WINDOWS%\system32\目录下释放出一个.dll文件。其中前者是病毒主文件,后者是用于执行盗号的文件。这两个文件的名称都是病毒根据中毒电脑上“c”盘的卷序列号计算得出来的,具有随机性。

  病毒将exe文件写入注册表启动项,从而实现自己的开机自启动。然后将dll文件注入到系统桌面进程explorer.exe里,所搜是否运行得有网络游戏《QQ三国》和“茶苑游戏大厅”。

  如发现有,则利用内存读取的方式盗取它们的帐号信息,发送至病毒作者指定的接收网址,给玩家造成虚拟财产的损失。

  “梅勒斯木马下载器变种AHI(Trojan.DL.Win32.Mnless. ahi)”病毒:警惕程度★★★,木马病毒,通过与其它木马结合的方式传播,依赖系统:Windows NT/2000/XP/2003。

  这是一个木马下载器病毒。病毒运行后会把自身复制到系统目录下,加载后会从黑客指定网站下载各种盗号木马、病毒等恶意程序,在系统目录下保存病毒文件名为“safdsa.exe”,并在用户计算机上运行。同时,这些病毒都会修改注册表启动项,实现随系统自启动,给用户的查杀和正常使用计算机带来极大的不便。

  “线上游戏窃取者变种NTY (Trojan.PSW.Win32.GameOL. nty)”病毒:警惕程度★★★,盗号木马病毒,通过网络传播,依赖系统:Windows NT/2000/XP/2003。

  这是一个偷游戏密码的病毒。病毒运行后会在System32路径下释放病毒文件ayTQQTQQ1011.exe和ayTQQTQQ1011.dll,改写注册表项实现自启动。病毒会把动态库注入到Explorer.exe进程中并查找进程中是否存在游戏进程,当找到游戏进程时,把自己注到游戏进程中,获取用户输入的账号密码并发送到指定的网址。运行完毕之后,该病毒还会删除自身,逃避杀毒软件的查杀。

  “安德夫木马变种HBZ(Trojan.Win32.Undef. hbz)”病毒:警惕程度★★★,木马病毒,通过网络传播,依赖系统:Windows NT/2000/XP/2003。

  这是一个木马病毒。病毒运行后会将自身文件复制到系统目录下,并修改注册表启动项,实现随系统自启动。病毒会将自身注入到系统正常进程,给用户查杀病毒带来困难。此外,病毒会试图关闭多种杀毒软件和安全工具,并会纪录用户键盘和鼠标操作,窃取用户的网游的帐号、密码等隐私信息,并发送给黑客,使玩家蒙受损失。

  “西游木马变种AFF(Trojan.PSW.Win32.XYOnline.aff)”病毒:警惕程度★★★,木马病毒,通过网络传播,依赖系统:Windows NT/2000/XP/2003。

  这是一个典型的盗号木马,病毒在运行后,从自身释放出一个dll文件到系统的System32目录中,并加载这个DLL文件。根据加载这个DLL文件的进程不同,病毒可以结束相关的系统正常进程,同时监测用户的帐号和密码,并发送到黑客指定的网址。

  病毒名称:Trojan/PSW.Moshou.atc
  中 文 名:“魔兽”变种atc
  病毒长度:20480字节
  病毒类型:木马
  危害等级:★
  影响平台:Win 9X/ME/NT/2000/XP/2003
  Trojan/PSW.Moshou.atc“魔兽”变种atc是“魔兽”木马家族的最新成员之一,采用VC++ 6.0编写,并经过加壳保护处理。“魔兽”变种atc运行后,自我插入到被感染计算机的系统“explorer.exe”进程中加载运行,隐藏自我,防止被查杀。修改注册表,实现木马开机自动运行。在被感染计算机系统的后台利用HOOK和内存截取等技术盗取网络游戏《魔兽世界》玩家的游戏帐号、游戏密码、仓库密码、角色等级、金钱数量、所在区服、计算机名称等信息,并在后台将玩家信息发送到骇客指定的远程服务器上,致使《魔兽世界》玩家的游戏帐号、装备物品、金钱等丢失,给游戏玩家带来非常大的损失。

  病毒名称:Exploit.CVE-2007-0071
  中 文 名:“Flash蛀虫”变种
  病毒长度:1546字节
  病毒类型:脚本病毒
  危险级别:★★
  影响平台:Win 9X/ME/NT/2000/XP/2003
  Exploit.CVE-2007-0071“Flash蛀虫”变种是“Flash蛀虫”脚本病毒家族的成员之一,采用javascript脚本语言和Flash脚本语言编写,并且代码经过加密处理,利用“Adobe Flash Player”漏洞传播其它病毒。“Flash蛀虫”变种一般内嵌在正常网页中,如果用户计算机没有及时升级安装“Adobe Flash Player”提供的相应的漏洞补丁,那么当用户使用浏览器访问带有“Flash蛀虫”变种的恶意网页时,就会在当前用户计算机的后台连接骇客指定站点,下载大量恶意程序并在被感染计算机上自动运行。所下载的恶意程序可能为是网游木马、恶意广告程序、后门等,给用户带来不同程度的损失。

  病毒名称:Trojan/PSW.Hangame.hy
  中 文 名:“韩e游”变种hy
  病毒长度:13312字节
  病毒类型:木马
  危害等级:★
  影响平台:Win 9X/ME/NT/2000/XP/2003
  Trojan/PSW.Hangame.hy“韩e游”变种hy是“韩e游”木马家族的最新成员之一,采用VC++ 6.0编写,并经过加壳保护处理。“韩e游”变种hy运行后,自我插入到被感染计算机的系统“explorer.exe”进程中加载运行,隐藏自我,防止被查杀。修改注册表,实现木马开机自动运行。在被感染计算机系统的后台利用HOOK和内存截取等技术盗取韩国“R2”网络游戏玩家的游戏帐号、游戏密码、仓库密码、角色等级、金钱数量、所在区服、计算机名称等信息,并在后台将玩家信息发送到骇客指定的远程服务器上,致使玩家的游戏帐号、装备物品、金钱等丢失,给游戏玩家带来不同程度的损失。另外,“韩e游”变种hy还具有躲避某些防火墙监控的功能。

  病毒名称:Trojan/PSW.LMir.gwk
  中 文 名:“传奇窃贼”变种gwk
  病毒长度:83249字节
  病毒类型:木马
  危险级别:★
  影响平台:Win 9X/ME/NT/2000/XP/2003
  Trojan/PSW.LMir.gwk“传奇窃贼”变种gwk是“传奇窃贼”木马家族的最新成员之一,采用高级语言编写,并经过加壳保护处理。“传奇窃贼”变种gwk运行后,自我插入到被感染计算机中的某些系统进程内加载运行,隐藏自我,防止被查杀。修改注册表,实现木马开机自动运行。在被感染计算机系统的后台利用HOOK和内存截取等技术盗取《传奇世界》玩家的游戏帐号、游戏密码、仓库密码、角色等级、金钱数量、所在区服、计算机名称等信息,并在后台将玩家信息发送到骇客指定的远程服务器上,致使《传奇世界》游戏玩家的游戏帐号、装备物品、金钱等丢失,给游戏玩家带来非常大的损失。另外,“传奇窃贼”变种gwk会强行删除系统中的HOSTS文件,防止用户把该木马的收信地址加入到具有“域名映像劫持”功能的HOSTS文件中,以便正常接收到盗取的玩家帐号等信息。

  病毒名称:Trojan/PSW.Almat.eju
  中 文 名:“阿麦特”变种eju
  病毒长度:11292字节
  病毒类型:木马
  危害等级:★
  影响平台:Win 9X/ME/NT/2000/XP/2003
  Trojan/PSW.Almat.eju“阿麦特”变种eju是“阿麦特”木马家族的最新成员之一,采用VC++ 6.0编写,并且经过加壳保护处理。“阿麦特”变种eju运行后,在被感染计算机系统的“%SystemRoot%\system32\”目录下释放一个恶意DLL组件文件“midimapwl.dll”和一个配置文件。将“midimapwl.dll”插入到被感染计算机中的某些系统进程中加载运行,隐藏自我,防止被查杀。修改注册表,实现木马开机自动运行。在被感染计算机系统的后台利用HOOK和内存截取等技术盗取网络游戏玩家的游戏帐号、游戏密码、仓库密码、角色等级、金钱数量、所在区服、计算机名称等信息,并在后台将玩家信息发送到骇客指定的远程服务器上,致使玩家的游戏帐号、装备物品、金钱等丢失,给游戏玩家带来极大的损失。另外,“阿麦特”变种eju还具有躲避防火墙监控的功能,大大降低了被感染计算机上的安全性。
Share
评论Feed 评论Feed: http://www.85815.com/feed.asp?q=comment&id=1199
UTF-8 Encoding 引用链接: http://www.85815.com/trackback.asp?id=1199&key=
这篇日志没有评论.
发表
表情图标
[smile] [confused] [cool] [cry]
[eek] [angry] [wink] [sweat]
[lol] [stun] [razz] [redface]
[rolleyes] [sad] [yes] [no]
[heart] [star] [music] [idea]
UBB代码
转换链接
表情图标
悄悄话
用户名:   密码:   注册?
验证码 * 请输入验证码