“窗口偷窥者”透过IE窗口窥视你的账号

来源:岁月联盟 编辑:zhuzhu 时间:2007-12-07
“窗口偷窥者”透过IE窗口窥视你的账号 “网游盗贼14452”(Win32.Troj.AgentT.fm.14452),这是一个网游盗号安全的变种,它盗取的游戏众多。它会强行关闭正在运行中的网络游戏,使得玩家不得不重新登录。这样,病毒便可趁机盗窃用户账号。 

“窗口偷窥者”(Win32.PSWTroj.OnLineGames.156160),这是一个主要针对台湾省电脑用户的网游盗号安全。它利用其它程序的内存空间来运行,并将自己伪装为系统插件,查找IE窗口,盗取多款网游的账号密码。 

一、“网游盗贼14452”(Win32.Troj.AgentT.fm.14452) 威胁级别:★★ 

病毒进入电脑系统后,在系统中释放出四个病毒文件,分别为%windows%//system32/目录下的avzxest.exe、avzxemn.dll和avzxein.dll,以及%windows%/Fonts/目录下的mszhasd.fon。然后,它修改系统注册表,将自己的相关信息加入其中,这样以来,以后用户每次启动系统时,它都能跟着自动运行起来。与此同时,它还会破坏注册表中关于系统防火墙和windows自动更新的部分,以延长自己在用户系统中潜伏的时间。 

完成以上前期工作后,病毒就开始搜索系统中运行着的ElementClient.exe和TQAT.exe的进程,找到后就将其强行关闭,这样的话,用户就不得不重新登录游戏。别以为它只会搞恶作剧,其实在用户重新登录时,它就会截获游戏账号和密码,并把它们发送到安全作者指定的地址,造成用户虚拟财产的损失。由于《武林外传》、《诛仙》、《完美世界》、《魔域》、《大话西游》、《机战》、《魔兽世界》等多款游戏中均包含ElementClient.exe和TQAT.exe进程,该安全的影响范围会比较广。 

此外,该病毒还具有自我删除和自我保护的功能,当运行后,它会删除源文件,使用户不易发现它,并不停地重写注册表,确保自己的相关信息不被删除。 

二、“窗口偷窥者”(Win32.PSWTroj.OnLineGames.156160) 威胁级别:★★ 

病毒成功运行后,在电脑系统中生成两个病毒文件,分别为%windows%目录下的un.dll和%windows%/system32/目录下的winfun.exe。然后,它修改系统注册表,在其中加入自己的相关信息,使自己能在每次系统开机时随之启动。随后,病毒会强迫其他程序加载自己的病毒文件,利用这些程序的内存空间来运行自己。这样的话,用户就不容易发现它。 

在运行过程中,病毒死盯IE窗口,一旦发现用户登录《天堂》、《魔兽世界》、GASH游戏平台、《奇魔》、《RAN Online台湾》、《R2 Online台湾》、《WM Online台湾》等网络游戏的官网,就会伺机截获用户的账号、密码、身份证、角色名、物品等信息,并将其发送到http://www.a**v***l.com/u***le.asp这个安全作者指定的地址。 

除了盗取网游账号信息外,该病毒还会随时留意雅虎通的窗口,尝试盗取用户的雅虎账号和密码。此外,“拍卖赢家”(http://www.bidder.cc)网站的账号信息也在它的目标之中。 

金山反病毒工程师建议 

1.最好安装专业的杀毒软件进行全面监控。建议用户安装反病毒软件防止日益增多的病毒,用户在安装反病毒软件之后,应该经常进行升级、将一些主要监控经常打开(如邮件监控、内存监控等),遇到问题要上报, 这样才能真正保障计算机的安全。 

2.玩网络游戏、利用QQ聊天的用户数量逐渐增加,所以各类盗号安全必将随之增多,建议用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。