浪漫部落 - 浪漫森林

标题: 11.06病毒“帐号夹子”盗号木马 [打印本页]

作者: phi 时间: 2008-11-6 15:23
标题: 11.06病毒“帐号夹子”盗号木马
帐号夹子98304”（Win32.Troj.Rpcss.go.98304），这是一个盗号木马程序。它的盗窃对象是QQ即时聊天工具、网游《龙与地下城》，以及电信和网通用户的登录帐号与密码。该毒目前主要是通过电子邮件来进行传播。

　“剑侠世界窃贼90588”（Win32.Troj.OnlineGamesT.vy.90588），这是一个盗取网络游戏《剑侠世界》帐号的木马，它会将玩家的账号密码人物名称等级等数据发送给收信地址。

　一、“帐号夹子98304”（Win32.Troj.Rpcss.go.98304）威胁级别：★

　这个盗号木马的作案目标比较广泛，从QQ聊天工具到网游《龙与地下城》，再到电信、网通的上网登录密码，都在它的窥视之中。

　该毒运行后，首先会释放一个名为“随机数字.BIN”的文件，这其实是个dll文件。它被加载后，会使病毒得以提升权限，顺利注入进桌面进程explorer.exe和系统进程svchost.exe中，实现隐蔽运行。

　接着，它释放驱动文件，创建实时监视器，替换系统的多处防御模块，并绕过“TesSafe.sys”，防止被QQ医生等安全软件的反木马模块查杀

　当一切工作准备就绪，病毒就搜索并注入到目标程序中，读取用户输入的帐号和密码。

　二、“剑侠世界窃贼90588”（Win32.Troj.OnlineGamesT.vy.90588）威胁级别：★

　这个盗号木马是通过特征码和窗口定位游戏，它在释放出多个随机命名的子文件，并修改注册表实现自启动后，就开始搜索游戏进程，注入到游戏内存中，读取帐号和密码信息。

　在此过程中，为阻止系统通过升级获得免疫，它会查找%WINDOWS%\System32\目录下的VErCLSiD.exe文件，将其删除，因为此文件与系统升级有关。

　当盗窃成功，该毒就建立远程连接，把赃物加密后发送到http://1*1.12.1*8.127/zong这个由病毒作者安排好的远程服务器。给玩家造成虚拟财产的损失。

　反病毒工程师建议

　1.最好安装专业的杀毒软件进行全面监控，防范日益增多的病毒。用户在安装反病毒软件之后，应将一些主要监控经常打开（如邮件监控、内存监控等）、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全

　2.由于玩网络游戏、利用QQ等即时聊天工具交流的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，如不要登录不良网站、不要进行非法下载等，切断病毒传播的途径，不给病毒以可乘之机。

作者: 无岸可渡 时间: 2008-11-6 16:55
应该杀毒软件很快会做出反应
只要不随便点击不熟悉的网站
一般没什么问题

作者: yt7281 时间: 2008-11-6 17:29
木馬不怕來一個殺一個來兩個殺一雙

欢迎光临浪漫部落 - 浪漫森林 (http://bbs.weet.com.cn/)