|
||||
我們提醒廣大玩家朋友在玩網絡游戲前,請務必裝好防火牆以及防木馬病毒的監察軟件和殺毒軟件,並及時昇級,以免賬號丟失。以下是近日最新出現的網游盜號病毒:
『完美小偷69897』(Win32.Troj.OnlineGameT.nf.69897)威脅級別:★
網游盜號木馬依舊層出不窮,這個病毒就是一個網游盜號木馬。它在進入系統後,會將自己的病毒文件釋放到系統盤中,分別是%WINDOWS%目錄下的tciocp64.exe,以及%WINDOWS%\system32\目錄下的tciocp64.dll。其中tciocp64.exe是病毒主文件,病毒會將它的相關數據寫入系統注冊表,啟動項,以便達到開機自啟動之目的,而tciocp64.dll是用來執行盜號的文件。
病毒將tciocp64.dll注入系統進程後,搜索是否安裝得有網絡游戲《完美世界》,如有,則建立消息監視,從用戶與游戲服務器之間的通訊信息中過濾出游戲賬號和密碼,然後把它們通過網頁提交的方式發送到由病毒作者安排好的網址中,給用戶造成虛擬財產的損失。
毒霸反病毒工程師還發現,該病毒具有自我刪除功能。在運行完畢後,它就刪除自身原始文件,使得用戶無法發現系統中出現了多餘的文件。
『網游盜號木馬397312』(Win32.Troj.vaklik.397312)威脅級別:★
這個下載器比較『聰明』,它根據用戶電腦上安裝游戲的不同,來下載相應的盜號木馬,從而提高作案成功率。
病毒在進入系統後,會枚舉當前系統內進程,當發現指定安全工具進程,便強行結束這些進程,該病毒的黑名單中包含了主流的多款殺毒軟件,但經毒霸反病毒工程師檢查,由於技術含量不高,病毒的這一攻擊無法成功。
同時,病毒創建線程監視系統窗口,如果發現殺毒軟件彈出提示窗口,通過發送關閉消息和模擬鼠標點擊來使殺軟放行。
習慣手動查殺的用戶,可在系統%windows%\Fonts\目錄下找到病毒釋放的文件codoor0.dll。該文件創建時間設置的和系統文件explorer.exe一致,以隱藏自身。文件還會被用來在注入explorer.exe進程,監視系統內的游戲進程,將信息記錄到%WINDOWS%\system32\目錄下的game.ini文件中。
然後,病毒連接病毒作者指定的服務器,上傳游戲信息,根據游戲進程的不同,服務器會提供下載相應的盜號木馬,執行盜號行為。
『完美世界盜號木馬98304』(Win32.RiskWare.AgentT.m.98304)威脅級別:★
這個盜號木馬在執行盜號之前,會先搜索殺入軟件卡巴斯基和瑞星的進程,將它們的主動防御提示關閉,使得它們即便探測到系統受到入侵,也無法向用戶報告。
接著,病毒刪除自己的原始文件,銷毀證據,讓用戶不易發現電腦裡出現多餘的文件。同時,它注入系統桌面進程exrplorer.exe,搜尋網絡游戲《完美世界》的進程,注入其中,讀取游戲內存,從中獲取游戲帳號和密碼,並發給病毒作者,給用戶帶來虛擬財產的損失。
習慣手動殺毒的用戶,可在系統盤中找到病毒釋放出的兩個文件,分別為%WINDOWS%目錄下的cmdbcs.exe,以及%WINDOWS%system32\目錄下的cmdbcs.dll,前者是病毒主文件,會被寫入注冊表啟動項,使病毒實現開機自啟動。而後者是用來注入進程,執行盜號的文件。