网游盗窃者第二波 盗取游戏种类增多

来源:岁月联盟 编辑:zhuzhu 时间:2010-02-13
    "网游盗窃者53248"(Win32.Troj.OnlineGames.eo.53248)这是一个网游盗号木马。该木马会关闭部分安全软件的报警和通知窗口。通过读取游戏进程内存的方式,盗取彩虹岛、浩方、惊天动地、完美世界以及QQ的帐号信息

    "网游盗窃者18668"(Win32.PSWTroj.OnLineGames.es.18668)这是一个盗号木马。盗取网络游戏《征途》《惊天动地》《武林外传》帐号与密码等相关信息的木马。
 
    一、"网游盗窃者53248"(Win32.Troj.OnlineGames.eo.53248)   威胁级别:★

    该病毒是一个典型的网游盗窃者,盗取的网游种类多。该病毒成功运行后,会在%windows%下产生Kvsc3.exe以及会在%system32%下产生Kvsc3.dll病毒文件,自动添加病毒启动项Kvsc3.exe,其对应路径为:%windows%/Kvsc3.exe。病毒启动以后Kvsc3.dll会注入到explorer.exe系统进程,由于explorer.exe是系统进程,并会随着系统的启动而启动,当病毒注入到该进程,会利用explorer.exe系统进程监控每个打开的程序,当发现有指定的游戏进程时,则进行病毒操作,将截获的网游帐号信息回传到指定的地址:http://jt2.s*****j.com/jjjt/lin.asp。该病毒还会自动关闭某些杀软的警告窗口,如卡巴斯基等,使用户系统的安全性大大降低,丧失保护能力,最终导致用户的网络虚拟财产的重大损失。

    二、"网游盗窃者18668"(Win32.PSWTroj.OnLineGames.es.18668)   威胁级别:★

    该病毒运行成功后,会自删除病毒源文件,使用户无法找到病毒源。会在%temp%下产生两个病毒文件,分别是:upxdnd.exe和upxdnd.dll,其中upxdnd.exe还会被病毒设置为启动项,当用户在启动系统时则随着启动该病毒。upxdnd.dll会注入explorer系统进程,对指定的游戏进程实行监控。关闭音频设备,是为了关闭卡巴斯基的“杀猪声”,以免引起用户的怀疑。启动后搜索标题为AVP.AlertDialog的卡巴斯基的警告窗口,模拟点击按钮“允许”和“跳过” 向卡巴斯基的通知窗口(类名为:AVP.Product_Notification)发送WM_CLOSE消息结束该窗口,并且会关闭"瑞星注册表监控提示"的警告窗口,以达到写入注册表启动项的目的。通过内存读取的方式获取帐号和密码信息并发送到木马种值者指定的接收地址。给网游用户带来网络虚拟财产的重大损失。
 
    金山反病毒工程师建议
 
    1.最好安装专业的杀毒软件进行全面监控。建议用户安装反病毒软件防止日益增多的病毒,用户在安装反病毒软件之后,应该经常进行升级、将一些主要监控经常打开(如邮件监控、内存监控等),遇到问题要上报, 这样才能真正保障计算机的安全。



    2.玩网络游戏、利用QQ聊天的用户会有所增多,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。