“大话西游3盗号者102400”(Win32.PSWTroj.OnlineGames.102400),该木马是针对网络游戏《大话西游3》的盗号木马。病毒运行后会衍生病毒文件到系统路径下,利用消息监视的方式盗取游戏账号,并通过网页提交的方式发送给木马种植者。
“循环瘫痪下载器208896”(Win32.Troj.Agent.bk.208896),这是一个病毒下载器。该病毒运行后会修改用户的计算机配置信息,关闭用户机器上运行的流行杀毒软件和防火墙,从网络上下载大量木马,盗窃用户电脑中有价值的敏感信息。
一、“大话西游3盗号者102400”(Win32.PSWTroj.OnlineGames.102400) 威胁级别:★
制作变种对木马作者来说不是什么难事,他们只需制作一个木马生成器,就可以批量生成大量的木马变种。以下这个病毒只是一个普通的盗号木马,但因为最近相关变种较多,需要注意。
这个盗号木马针对的是网络游戏《大话西游3》。它由两个病毒文件组成,一个是隐藏在%WINDOWS%\目录下的DbgHlp32.exe,另一个是%WINDOWS%\system32\目录下的DbgHlp32.dll,其中前者是病毒的主文件,病毒会将它的相关数据写入系统注册表,实现自己的开机自启动,而后者则负责盗号工作。当病毒完成文件释放后,它就删除自己的原始文件,让用户不易发现。
病毒盗号的原理是建立消息钩子,所谓消息钩子,简单的说就是监视用户与游戏服务器之间的通讯消息,从中筛选出帐号和密码,类似于窃听。病毒获得帐号信息后,就建立远程连接,将赃物发送到木马作者指定的地址http://zha*******23456.com/cssj/post.asp,然后木马作者就可以变卖游戏账号和装备,给玩家造成虚拟财产的损失。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅:http://vi.duba.net/virus/win32-pswtroj-onlinegames-102400-50492.html
二、“循环瘫痪下载器208896”(Win32.Troj.Agent.bk.208896) 威胁级别:★★
具备对抗杀软能力的下载器再次出现。和机器狗、磁碟机一样,这个下载器也具备解除杀毒软件主动防御的能力。毫无疑问,这是下载器发展的一个趋势,只要可带来巨额利润的病毒黑色产业链存在,病毒作者们就会想方设法地突破杀毒软件。
如果用户机器上安装了卡巴反病毒软件,这个病毒就会在%WINDOWS%system32\drivers\目录下释放出驱动程序beep.sys,将卡巴的主文件关闭。这个过程会不断反复,只要用户一启动卡巴,病毒就会立即将它强行关闭。而如果电脑中没有安装卡巴,病毒则释放这个驱动程序到系统临时目录,并且文件名随机。
接着,病毒利用自己的驱动程序,修改注册表,恢复系统SSDT表,使那些具有主动防御功能的杀毒软件失效。当这个过程运行完以后,病毒马上将其注册表项删除,需要运行时再创建。这样,用户检查注册表时,就容易发现异常。
最后,病毒开始干它的本职工作:从http://c.15**m.com/这个由病毒作者指定的地址下载一份名为okok.txt 的病毒列表。再下载列表里的所有病毒。在这些病毒中,大部分是盗号木马程序,它们会盗取用户的网络游戏帐号密码,以及其他一些私密信息。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅:http://vi.duba.net/virus/win32-troj-agent-bk-208896-50493.html
金山反病毒工程师建议
1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。
