“网游盗号核桃69805”
[color=black] “网游盗号核桃69805” (Win23.PSWTroj.OnLineGames.69805) 威胁级别:★★★“网游盗号核桃69805”(Win23.PSWTroj.OnLineGames.69805),这是一个网游盗号木马。它盗取的是《梦幻西游》、《魔兽世界》、《征途》等网络游戏以及游戏平台的密码。病毒经过了一定程度的加壳,试图躲避安全软件的查杀。病毒会盗取游戏账号信息,并通过网页提交的方式发送到木马种植者手上。该木马还具有后门特征,当该病毒在计算机上成功运行后会在黑客指定的网站上[/color][url=http://www.duba2008cn.cn][color=black]下载[/color][/url][color=black]各类病毒。[/color]
[color=black] 这个病毒经过了FSG2.0加壳技术的处理,试图以此躲避安全软件对它的查杀,不过毒霸依然彻底清除它。[/color]
[color=black] 病毒进入电脑,释放完文件后,会自我删除当初的原始文件,让用户难以发现它。不过,习惯手动杀毒的用户,依然可以在系统盘的%WINDOWS%目录下找到它的病毒文件ticisms.exe。这是它的主文件,会被写入注册表启动项,达到开机自启动之目的。木马会在电脑系统中释放出多个病毒文件,分别是%WINDOWS%\system32\目录下的msepion.sys、xjxr.cfg、xjxr.dll,以及%WINDOWS%\system32\drivers\目录下的msyecp.sys。[/color]
[color=black] 当病毒开始运行,它就把xjxr.dll文件加载到系统进程当中,查找并通过读取内存的方式来盗取网络游戏《梦幻西游》的账号和密码,然后把盗取到的账号和密码通过网页提交的形式发送到病毒作者指定的网址[/color][url=http://www.******.cn/yblin.asp][color=black]http://www.******.cn/yblin.asp[/color][/url][color=black]。[/color]
[color=black] 同时,病毒释放出执行盗号工作的文件ticisms.dll和giigeq.dll(此文件名是随机6位字母)到%WINDOWS%\system32\下,注入系统桌面进程explorer.exe,查找当前系统内是否存在《梦幻西游》、《魔兽世界》、《征途》等网络游戏以及游戏平台,如有,则读取游戏内存中的帐号和密码信息,将它们发送到[/color][url=http://www.ck***66.com/wow5566/lin111.asp][color=black]http://www.ck***66.com/wow5566/lin111.asp[/color][/url][color=black]这个病毒作者指定的地址。[/color]
[color=black] 它的作案原理并不复杂,但近来传播趋势有所增高,毒霸反病毒工程师认为这是有人在故意传播该毒。[/color]
[color=black] 金山反病毒工程师建议[/color]
[color=black] [/color][url=http://www.duba2008cn.cn][color=black]金山毒霸2008[/color][/url][color=black]反病毒应急中心及时进行了病毒库更新,升级毒霸到2008年5月16的病毒库即可查杀以上病毒;如未安装[/color][url=http://www.duba2008cn.cn][color=black]金山毒霸[/color][/url][color=black],可以登录[/color][url=http://www.duba.net][color=black]http://www.duba.net[/color][/url][color=black]免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816,反病毒专家将为您提供帮助。[/color]
页:
[1]