4月
一、“捕鱼网盗号木马82153”(Win32.Troj.OnlineGameT.82153)
广撒网式的盗号木马又出现了,尽管不具备对抗杀毒软件的功能,但由于针对的目标多,作案成功的机率自然也就高,可以弥补破坏能力方面的不足。例如下面这个网游盗号木马,它采用的就是这种广撒网式的作案手段。
这个木马可以同时盗取《魔兽世界》、《传奇世界》以及全系列“QQ游戏”的帐号和密码。它运行起来后将自己注入系统桌面进程,搜索目前启动的进程中是否有自己的作案目标,如果有,就把自己加载到里面,盗取帐号信息。而针对不同游戏,它的盗号方式也有所不同。
当病毒找到QQ游戏的进程“qqgame.exe”时候,它就把QQ游戏目录里“config\Dynamic\”目录下的Account.cfg 文件删除掉,由于这个文件包含了用户的全部基本帐号信息,用户再次登录时,就无法使用“记住密码和帐号”这样的功能,只得重新输入密码。而这时,病毒就可 以读取游戏窗口的内存数据,获取用户信息。
而对于《魔兽世界》与《传奇世界》,它则采取读取游戏文件的方式,得到用户的游戏帐号和密码。
习惯手动查杀的用户,可以在系统临时目录%Temp%中找到病毒文件oewum45f.dll和wgod.sys 。另外,在%WINDOWS%\system32\目录下隐藏着病毒主文件msime.exe,病毒会将它写入注册表实现自启动。
关于(Win32.Troj.OnlineGameT.82153)病毒的详细分析报告,可在金山病毒大百科中查阅:http://vi.duba.net/virus/win32-troj-onlinegamet-82153-50525.html
二、“系统伤口下载器”(Win32.Troj.DropperT.cp.658432)
这是一个原理非常简单的木马下载器程序,但根据毒霸反病毒工程师们统计到的数据,最近该毒的传播速度却比较快,造成这种情况的可能是有人在进行故意传播。
该毒可以通过网页挂马和捆绑文件的方式进行传播。当它进入用户电脑后,会将病毒文件text.exe释放到系统盘的系统临时目录文件夹%WINDOWS%\Temp\中,并修改注册表启动项,让自己能在以后每次电脑开机时跟着跑起来。
如果可以顺利运行,病毒就会在系统盘下建立一个“14”文件夹,然后尝试与病毒作者指定的服务器的网络客户端建立点对点的通信,下载一个名为flashget_2240_1.exe的病毒文件,并运行它。由于病毒作者可以随时更换文件内容,所带来的损失也就无法判断。
另外,在实现下载的过程中,病毒会打开用户电脑系统的UDP 4000端口,制造后门来连接远程服务器,只要病毒作者愿意,他也可以利用这一后门控制用户电脑,为所欲为。
关于(Win32.Troj.DropperT.cp.658432)病毒的详细分析报告,可在金山病毒大百科中查阅:http://vi.duba.net/virus/win32-troj-droppert-cp-658432-50524.html
|
