20CN网络安全小组论坛 - 病毒专区 - 电脑病毒播报：警惕线上游戏窃取者变种

论坛: 病毒专区标题: 电脑病毒播报：警惕线上游戏窃取者变种

作者: rovecat [rovecat]

版主

　金山：

　　一、“灰鸽子变种679936”(Win32.Hack.Huigezi2007.679936) 威胁级别：★★

　　此木马是的主要威胁行为是它能协助黑客对用户电脑进行远程控制。它在用户系统中运行起来后，就会启动IE浏览器的进程，在后台悄悄地访问IP查询网站，获得用户电脑的IP信息，然后反向连接病毒作者指定的远程服务器(黑客控制端)。

　　连接成功后，此木马就监视用户的操作和网络访问情况，并等待黑客控制端发出的指令。利用该木马制造的后门，黑客可以对用户系统进行任何想要的控制。

　　该木马的文件被隐藏在%windows%目录下，名为systme.txt。它会被写入注册表，注册为服务启动。为蒙蔽用户，它给自己取的服务名为Protected Storag，服务描述为“提供对敏感数据(如私钥)的保护性存储”。习惯手动查杀的用户可对此留意。

　　当运行完成后，此木马就释放一个BAT文件，删除自己的原始文件。

　　关于该病毒的详细分析报告，可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-hack-huigezi2007-679936-50881.html

　　二、“对抗型魔兽盗号器11353”(Win32.Troj.OnLineGames.ak.11353) 威胁级别：★

　　此盗号木马具有一定的对抗能力，它进入系统后会首先搜索360安全卫士的进程，尝试将其强行关闭。

　　如果上面的步骤成功，它便把自己的dll文件注入到游戏进程当中,并展开消息监视。它监视用户与游戏服务器之间的通讯，从中筛选出《魔兽世界》玩家的游戏帐号与密码。

　　在顺利盗窃了帐号和密码后，它立即悄悄连接病毒作者指定的远程地址，以网页提交的方式将赃物发送出去。

　　病毒文件exlplo.Dll会被隐藏在系统盘%WINDOWS%\system32\目录下，习惯手动查杀的用户要留意。

　　关于该病毒的详细分析报告，可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-troj-onlinegames-ak-11353-50882.html

　　

　　瑞星：

　　“线上游戏窃取者变种SZM(Trojan.PSW.Win32.GameOL.szm)”病毒：警惕程度★★★，盗号木马病毒，通过网络传播，依赖系统：Windows NT/2000/XP/2003。

　　这是一个偷游戏密码的病毒。病毒采用Delphi语言编写，Upack加壳。病毒运行后会释放一个名称为随机8位字母组合的exe和名称为随机八位字母组合的dll文件，设置自身属性为系统，隐藏，改写注册表项实现自启动。病毒会把动态库注入到Explorer.exe进程中并查找进程中是否存在游戏进程，当找到游戏进程时，把自己注到游戏进程中，获取用户输入的账号密码并发送到指定的网址。运行完毕之后，该病毒还会删除自身，逃避杀毒软件的查杀。

　　反病毒专家建议电脑用户采取以下措施预防该病毒：1、安装正版杀毒软件、个人防火墙和卡卡上网安全助手，并及时升级，瑞星杀毒软件每天至少升级三次;2、使用“瑞星系统安全漏洞扫描”，打好补丁，弥补系统漏洞;3、不浏览不良网站，不随意下载安装可疑插件;4、不接收QQ、MSN、Email等传来的可疑文件;5、上网时打开杀毒软件实时监控功能;6、把网银、网游、QQ等重要软件加入到“瑞星帐号保险柜”中，可以有效保护密码安全;7、登陆http://tool.ikaka.com下载并安装免费的瑞星卡卡6.0，打开防护中心开启全部防护，防止病毒通过IE漏洞等侵入计算机。

　　

　　江民：

　　病毒名称：Win32/InfectExplorer.d

　　中文名：“Explorer侵蚀者”变种d

　　病毒长度：976896字节

　　病毒类型：感染型病毒

　　危险级别：★★

影响平台：Win 9X/ME/NT/2000/XP/2003

　　Win32/InfectExplorer.d“Explorer侵蚀者”变种d是被某些病毒所感染的“explorer.exe”系统文件，其中病毒代码部分采用高级语言编写，并经过加密处理。“Explorer侵蚀者”变种d运行后，每隔一段时间就会在被感染计算机后台检查是否存在移动存储设备，一旦发现便感染其中某些指定的*.exe文件，从而实现病毒利用U盘、移动硬盘等移动存储设备进行传播。“Explorer侵蚀者”变种d与骇客指定的服务器站点建立网络连接，骇客能够通过“Explorer侵蚀者”变种d远程完全控制被感染的计算机，进行任意文件上传、下载以及命令等恶意操作，给用户计算机安全和个人隐私，甚至商业机密造成严重威胁。由于病毒代码存在于“explorer.exe”系统文件中，因此用户难以发觉病毒的存在，难以清除干净。

　　病毒名称：TrojanSpy.VB.bd

　　中文名：“视频宝宝”变种bd

　　病毒类型：间谍类木马

　　危害等级：★

　　影响平台：Win 9X/ME/NT/2000/XP/2003

　　TrojanSpy.VB.bd“视频宝宝”变种bd是“视频宝宝”间谍类木马家族的最新成员之一，采用VB编写，并经过添加保护壳处理。“视频宝宝”变种bd运行后，自我复制到被感染计算机系统的“%SystemRoot%\system32”目录下，重命名为“isass.exe”，并将其添加为启动项，实现木马开机自动运行。将自身添加到被感染计算机上已安装的某些防火墙程序的白名单中，来躲避防火墙的拦截。强行篡改注册表，大大的降低了被感染计算机的安全设置。在被感染计算机后台秘密监视用户的当前操作，记录用户运行的程序名、键盘输入等信息，将这些信息保存到系统盘指定的文件中，定期发送到骇客指定的服务器上，可能造成用户机密信息的泄露，给用户带来一定的损失。

　

　　卡巴斯基：

　　病毒名称：Trojan-Downloader.Win32.Small.zie(木马下载者变种ZIE)

　　文件大小：27497字节

　　病毒类型：木马

　　危害等级：★★★★★

　　影响的平台：WIN9X/ME/NT/2000/XP/2003

　　病毒表现(X代表任意数字与字母的组合)：

　　此病毒运行后在系统根目录下创建多个8位数字组合为名字的隐藏文件夹，主文件存储在其中一个文件夹中，此主文件被运行后它将从指定的网站下载大量的盗号木马文件到系统目录中。

　　专家建议:

　　1.在任务管理器中查看是否有陌生的比较可疑的进程存在。

　　2.及时打全系统补丁。

　　3.在使用MSN或QQ类的即时聊天工具时，注意它们运行是否正常。

　　4.尽快安装卡巴斯基反病毒软件并开启实时监控功能。

　　5.注意经常更新杀毒软件的病毒库来阻止被新病毒感染。

　　手动查杀方法:

　　进入安全模式删除系统根目录下8位数字组合为名字的隐藏文件夹，然后使用卡巴斯基最新病毒库进行扫描，删除那些被下载下来的盗号木马文件，卡巴斯基已经可以完全查杀它们。

地主发表时间: 08-08-20 21:33

论坛: 病毒专区