天空游戏提醒广大玩家朋友在玩网络游戏前,请务必装好防火墙以及防木马病毒的监察软件和杀毒软件,并及时升级,以免账号丢失。以下是近日最新出现的网游盗号病毒:
“灰鸽子变种T(Backdoor.Win32.Gpigeon2007.t)”病毒:警惕程度★★★,后门病毒,通过网络传播,依赖系统:Windows NT/2000/XP/2003。
该病毒运行时会首先将自身拷贝到系统目录下,并设置成隐藏、系统、只读属性。然后病毒会创建系统服务,实现随系统自启动。它还会新建IE进程并设置该进程为隐藏,然后将病毒自身插入该进程中。通过在后台记录用户键盘操作,病毒会偷取用户信息和本地系统信息等,并将该信息发送给黑客。如此用户计算机将被远程控制,不自主地删除文件,远程下载上传文件,修改注册表等等,给用户的计算机和隐私安全带来很大隐患。
“盗号木马下载器B(Trojan.PSW.Win32.Mapdimp.b)”病毒:警惕程度★★★,木马病毒,通过网络传播,依赖系统:Windows NT/2000/XP/2003。
这是一个木马病毒,采用Delphi编写,upack0.39加壳。病毒运行后会释放midimap??.dll和midimap??.dat的文件到系统目录(??代表两个随机字母),并修改注册表启动项,实现随系统自启动。病毒会将自身注入到系统正常Explorer.exe进程中,给用户查杀病毒带来困难。此外,病毒会访问指定网址下载其他木马病毒,盗取网游账号,使玩家蒙受损失。
“安德夫木马变种WC(Trojan.Win32.Undef. wc)”病毒:警惕程度★★★,木马病毒,通过网络传播,依赖系统:Windows NT/2000/XP/2003。
这是一个木马病毒。病毒运行后会将自身文件复制到系统目录下,并修改注册表启动项,实现随系统自启动。病毒会将自身注入到系统正常进程,给用户查杀病毒带来困难。此外,病毒会试图关闭多种杀毒软件和安全工具,并会纪录用户键盘和鼠标操作,窃取用户的网游的帐号、密码等隐私信息,并发送给黑客,使玩家蒙受损失。
“线上游戏窃取者变种OLW (Trojan.PSW.Win32.GameOL. olw)”病毒:警惕程度★★★,盗号木马病毒,通过网络传播,依赖系统:Windows NT/2000/XP/2003。
这是一个偷游戏密码的病毒。病毒采用Delphi语言编写,Upack加壳。病毒运行后会释放一个名称为随机8位字母组合的exe和名称为随机八位字母组合的dll文件,设置自身属性为系统,隐藏,改写注册表项实现自启动。病毒会把动态库注入到Explorer.exe进程中并查找进程中是否存在游戏进程,当找到游戏进程时,把自己注到游戏进程中,获取用户输入的账号密码并发送到指定的网址。运行完毕之后,该病毒还会删除自身,逃避杀毒软件的查杀。
“梅勒斯木马下载器变种ANN(Trojan.DL.Win32.Mnless.ann)”病毒:警惕程度★★★,木马病毒,通过与其它木马结合的方式传播,依赖系统:Windows NT/2000/XP/2003。
这是一个木马下载器病毒。病毒运行后会把自身复制到系统目录下,加载后会从黑客指定网站下载各种盗号木马、病毒等恶意程序,在系统目录下保存病毒文件名为“safdsa.exe”,并在用户计算机上运行。同时,这些病毒都会修改注册表启动项,实现随系统自启动,给用户的查杀和正常使用计算机带来极大的不便。
来源:瑞星
病毒名称:Trojan/PSW.Xiyou.mf
中 文 名:“西游盗贼”变种mf
病毒长度:17920字节
病毒类型:木马
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.Xiyou.mf“西游盗贼”变种mf是“西游盗贼”木马家族的最新成员之一,采用高级语言编写,并经过添加保护壳处理。“西游盗贼”变种mf运行后,查找被感染计算机系统中是否存在《大话西游3》网络游戏客户端程序,如果存在,修改游戏文件,将恶意代码写入“fmodex.dll”文件中,致使用户启动《大话西游3》运行时,会自动运行“西游盗贼”变种mf写入的恶意代码。“西游盗贼”变种mf采用HOOK技术和内存截取技术,盗取网络游戏《大话西游3》玩家的游戏帐号、游戏密码、身上装备、背包装备、角色等级、游戏区服、计算机名称等信息,并在被感染计算机的后台将窃取到的玩家游戏帐号信息发送到骇客指定的远程服务器站点上,造成玩家的游戏帐号、装备物品、金钱等丢失。在被感染计算机系统的后台连接骇客指定的服务器站点,下载恶意程序并在被感染计算机上自动运行。其中,所下载的恶意程序可能包含网游木马、恶意广告程序、后门等,给用户带来不同程度的损失。另外,“西游盗贼”变种mf最后会自我删除,消除痕迹。
病毒名称:Trojan/PSW.Moshou.ati
中 文 名:“魔兽”变种ati
病毒长度:36864字节
病毒类型:木马
危害等级:★
影响平台:Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.Moshou.ati“魔兽”变种ati是“魔兽”木马家族的最新成员之一,采用高级语言编写,由其它木马程序释放出来的的木马功能组件,一般被注入到所有进程中加载运行,隐藏病毒程序,躲避安全软件的查杀。“魔兽”变种ati运行后,一旦发现自己运行于“pol.exe”进程内部便通过HOOK技术和内存截取技术监视用户的键盘和鼠标操作,窃取用户输入的账号及密码等信息。在被感染计算机的系统后台盗取《最终幻想》网络游戏玩家的登陆帐号、登陆密码,并以表单的形式提交到骇客指定站点,造成玩家的游戏帐号、装备物品、金钱等丢失,给玩家带来不同程度的损失。另外,“魔兽”变种ati还会在被感染计算机上下载更多的恶意程序、网游木马等,给网络游戏玩家带来非常大的损失。
病毒名称:Trojan/Pakes.aye
中 文 名:“小偷派克斯”变种aye
病毒长度:109056字节
病毒类型:木马
危害等级:★
影响平台:Win 9X/ME/NT/2000/XP/2003
Trojan/Pakes.aye“小偷派克斯”变种aye是“小偷派克斯”木马家族的最新成员之一,采用VC++编写,并经过添加保护壳处理。“小偷派克斯”变种aye运行后,自我复制到被感染计算机系统的“%SystemRoot%\system32\”目录下并重新命名为“lphcpodj0eg11.exe”。将自身添加为启动项,实现木马开机自动运行。在“%SystemRoot%\system32\”目录下释放图片“phcpodj0eg11.bmp”并替换系统的当前桌面。在相同目录下释放屏保程序“blphcpodj0eg11.scr”并运行,该屏保伪装成系统的蓝屏错误。连接骇客指定站点,下载恶意程序,所下载的恶意程序可能包含网游木马、广告程序、后门等,给用户带来不同程度的损失。另外,“小偷派克斯”变种aye安装完毕后会自我删除。
病毒名称:TrojanSpy.Pophot.ff
中 文 名:“焦点间谍”变种ff
病毒长度:121344字节
病毒类型:间谍类木马
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
TrojanSpy.Pophot.ff“焦点间谍”变种ff是“焦点间谍”木马家族的最新成员之一,采用Delphi编写,由其它木马程序释放出来的木马功能组件,一般被注入到“EXPLORER.EXE”进程中加载运行,隐藏病毒程序,躲避安全软件的查杀。“焦点间谍”变种ff运行后,强行篡改被感染计算机上的系统时间,致使某些安全软件失效。在被感染的计算机上搜索与安全相关的软件,一旦发现便强行将其关闭,大大降低了被感染计算机上的安全性。在后台连接骇客指定的服务器,下载恶意程序并在被感染计算机上自动调用运行。其中,所下载的恶意程序可能包含网游木马、恶意广告程序、后门等,给用户带来不同程度的危害。另外,“焦点间谍”变种ff还会在各个盘符根目录下创建“autorun.inf”文件以及木马程序文件“auto.exe”,实现双击盘符启动病毒运行的目的。
病毒名称:I-Worm/Locksky.aw
中 文 名:“星空锁”变种aw
病毒长度:57856字节
病毒类型:网络蠕虫
危害等级:★
影响平台:Win 9X/ME/NT/2000/XP/2003
I-Worm/Locksky.aw“星空锁”变种aw是“星空锁”网络蠕虫家族的最新成员之一,采用高级语言编写,并经过添加保护壳处理。“星空锁”变种aw运行后,在被感染计算机系统的“%SystemRoot%\system32\”目录下释放病毒组件“crehcjid.dll”和恶意驱动程序“tcpip_patcher.sys”。修改注册表,实现网络蠕虫开机自动运行。启动“svchost.exe”进程,将病毒代码注入其中运行,隐藏自身,躲避安全软件的查杀。与骇客指定的服务器建立网络连接,侦听骇客指令,记录键击,盗取用户计算机上的机密信息,并将盗取到的信息发送到骇客指定的服务器上,给用户带来一定程度的损失。另外,“星空锁”变种aw还可能会在被感染计算机的后台下载恶意程序,并自动运行。
来源:江民
“QQ三国盗号者119087”(Win32.Troj.OnLineGames.sw.119087) 威胁级别:★
这个盗号木马进来频繁出现,有相当部分的用户反映,在它们的电脑上拦截到该木马的入侵。
此木马针对的是网络游戏《QQ三国》。它进入电脑后,就放出自己的病毒文件,并修改系统注册表,把自己的数据写入启动项,实现开机自动运行。如果成功运行起来,就注入系统桌面进程,寻找《QQ三国》的游戏进程,读取它的数据信息,盗窃游戏账号和密码信息。
如盗窃成功,病毒会连接指定的远程地址http://www.*******.cn/daosisg/post.asp ,将赃物通过网页提交的方式发送出去,造成游戏玩家虚拟财产的损失。
此毒所包含的文件共两个,隐藏在%WINDOWS%\system32\目录下,分别是sgdewg.dll和sgdewg.dll.LoG,其中sgdewg.dll是主文件。习惯手动杀毒的用户,请将这两个文件完全删除。
“网游盗号木马270336”(Win32.Troj.OnlineGameT.bc.270336) 威胁级别:★
此盗号木马近来变种增多,值得注意。它在进入电脑后,会立即搜索卡巴斯基、瑞星等杀毒软件的安全窗口,如发现就模拟鼠标点击,将它们关闭。这样,用户就无法知道系统中的异常。
然后,它将自己的文件mppds.exe释放到系统盘%windows%目录下,并将它写入注册表启动项,实现开机自启动。同时,将资源数据写入%Windows%\System32\目录下的mppds.dll文件中。如果写入文件不成功则随机生成一个新的文件名写入。
如果可以顺利完成以上工作,那么当用户再次启动电脑时,病毒就能够自动运行起来。它注入到桌面进程explorer.exe中,实现隐蔽运行。并查找网络游戏《魔兽世界 》、《惊天动地》、《新破天一剑》的进程,发现后就采用读取内存的方式获取它们的游戏账号与密码,发送到病毒作者指定的远程地址http://www.dj***0.com/jtdd333/,给游戏玩家造成虚拟财产的损失。
“PE网游盗号器20557”(PE.OnLineGames.fx.20557) 威胁级别:★
该盗号木马进入系统后,会首先取得用户级的权限,让自己能顺利执行各种操作。然后,它就创建新线程,监视系统中是否安装的有杀毒软件卡巴斯基,如有,则模拟用户鼠标点击,关闭卡巴斯基可能弹出的安全警告窗口。
随后,病毒释放出自己的文件upxdnd.exe到%WINDOWS%目录下,并将其添加到注册表启动项,让自己实现开机自启动。同时,用自己的生成文件替换掉WINDOWS\system32\目录下的upxdnd.dll。
当电脑再次启动时,病毒就会运行起来,注入系统桌面进程explorer.exe中,实现隐蔽运行,并不断搜索《征途》、《彩虹岛》、《传奇世界》、《惊天动地》等网游,以及“浩方对战平台”和QQ聊天工具的进程,发现后,分别采取不同的办法盗取其帐号信息。
如果盗窃成功,病毒就把赃物发送到病毒作者指定的地址,造成用户虚拟财产的损失。
“奇侠盗号木马232960”(Win32.Troj.OnlienGamesT.ny.232960) 威胁级别:★
此毒是一个盗号木马的组成部分。该木马进入用户系统后,就释放出若干dll格式文件,注入桌面进程中,搜寻多种网络游戏。此毒负责的偷盗是《奇侠》的帐号密码。
当它被释放出来,就新建线程加载自身,然后调用木马自身的输出函数。这个函数会设置键盘消息,鼠标消息等钩子,全面监视系统。
如果发现用户启动了《奇侠》游戏的进程,该毒就记录下用户输入的帐号和密码,然后在后台悄悄建立远程连接,将这些信息发送到病毒作者指定的远程地址。
病毒作者为干扰杀毒软件,设置了一些混乱的字符代码,不过毒霸依然可以查杀此毒。
“华夏Ⅱ盗号器110627”(Win32.Troj.OnLineGames.wi.110627) 威胁级别:★
这个盗号木马的目标是网络游戏《华夏Ⅱonline》,它进入电脑、释放完文件后,就会修改注册表启动项,把自己的数据写入其中,实现开机自启动。
如果可以成功运行起来,病毒就能注入系统桌面进程,实现隐蔽运行。并进一步搜寻和注入《华夏Ⅱonline》的进程。读取用户输入的帐号和密码信息,并以网页提交的方式发送到病毒作者指定的地址http://www.*****99.cn/fuckmanhx/post.asp,令用户遭受虚拟财产的损失。
顺便一提,该毒释放出的文件只有一个hhrdxd.dll,它会被隐藏在%WINDOWS%\system32\下。
来源:金山
Copyright © 2002 - 2008 www.Tkgame.com, All Rights Reserved
版权所有:北京万维天空科技有限公司 京ICP 证040598号
电话:86-10-62966079(2192,8943) 传真: 86-10-62970467