“热血盗号木马69632”(Win32.Troj.OnlineGames.i.69632),这是一个针对网络游戏《热血江湖》的盗号木马。它可以通过模拟键盘点击的方式,使部分杀毒软件的监控程序同意木马的非法操作。病毒注册为系统组件实现开机自启动。通过读取游戏内存空间的方式盗取游戏账号。会检测自身的注册表项防止被用户更改。
“网游盗号木马151552”(Win32.Troj.OnlineGamesT.ky.151552),这是一个会盗取多个网络游戏账号信息的木马程序。它通过创建注册表启动项开机自启动,然后创建线程关闭“卡巴斯基”和“瑞星”的相关监控提示窗口,最后将 Dll 文件注入的游戏进程执行盗号行为。
一、“热血盗号木马69632”(Win32.Troj.OnlineGames.i.69632) 威胁级别:★★
对于那些瞄准网游世界中虚拟财产的盗号木马程序来说,杀毒软件是它们“钱途”上最大的障碍。因此已经有越来越多的盗号木马被赋予了对抗杀毒软件的基本功能。例如此次这个木马,就是无数具备“初级反杀软能力”的木马中的一个。
病毒将病毒文件rxdoor0.dll释放到%WINDOWS% \system32\目录下,并篡改系统注册表的启动项,将自己设置为随系统自动运行。并发出模拟用户点击确定按钮的命令,使大部分杀毒软件的注册表监控程序同意木马的非法操作。当它运行起来,就搜索电脑上是否有网络游戏《热血江湖》的进程。如果检测到有,则读取游戏的内存,在其中找到用户的账号密码等信息,然后上传到木马种植者指定的网页http://www.we**8.org/ok***d/rx/。
为对抗杀软的查杀,这个病毒还采用了“死缠烂打”的策略。当它在用户系统中隐藏好后,会创建的一个线程,每隔一段时间就对自身添加的注册表项进行一次检测。如果发现其中的相关数据被用户或杀毒软件删除,就再次写入。只要它的病毒源不被发现,无论杀软怎样修复注册表,病毒都会很快重新夺回“阵地”。
二、“网游盗号木马151552”(Win32.Troj.OnlineGamesT.ky.151552) 威胁级别:★
杀毒软件保护系统不受入侵的一个方法是监视注册表,当发现注册表发生修改时,就询问用户是否允许修改,以判断修改注册表的是用户还是病毒。但不少木马病毒作者也早已明白这个道理,因此他们会采取模拟用户允许的方式来对付杀软。
此病毒进入用户系统后创建线程,先释放自己的主文件SHAProc.exe到系统盘的%WINDOWS%目录下,然后查找杀毒软件“卡巴斯基”和“瑞星”的注册表监控提示窗口,如找到卡巴斯基的,就模拟用户鼠标信号点击信号,操作点击“允许”按钮。如找到瑞星的,则直接发送系统消息将提示窗口关闭。
当杀毒软件的提示窗口被解决掉,用户自然也就无法获知自己系统中的异常情况了。病毒有足够的时间注入系统桌面进程,在其中搜索《破天一剑》、《风火之旅》、《惊天动地》等多款网络游戏,然后展开全局监视,盗取账号和密码,发到http:/ /www.d**910.com/pt**333这一由木马种植者指定的地址,给用户造成虚拟财产的损失。
除主文件SHAProc.exe外,病毒还会在%WINDOWS%\system32\目录下释放出一个病毒文件SHAProc.dll,该文件用于注入进程执行盗号行为。习惯手动查杀的用户只需找到它和SHAProc.exe,将它们侧底删除,并修正注册表中的病毒主文件相关数据,就可恢复系统正常。
金山反病毒工程师建议
1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。
(责任编辑:李磊)
