盗号木马吃掉多款网游 虚拟财产大量丢失
来源:岁月联盟
时间:2010-02-13
“网游盗号木马126976”(Win32.PSWTroj.Nilage.126976),这是一个网游盗号木马。会通过内存读写的方式盗窃《热血江湖》、《剑侠情缘2》、《完美世界》等网络游戏的用户帐号和密码。
“AUTO病毒37376”(Win32.Troj.Autorun.hw.37376),这是一个AUTO病毒。该病毒运行后,会在各盘生成AUTO病毒。并且严重占用系统资源,使系统处于瘫痪状态,用户无法正常操作系统。病毒还会使某些著名杀软失效,造成系统的安全性大大降低。
一、“网游盗号木马126976”(Win32.PSWTroj.Nilage.126976) 威胁级别:★
病毒成功运行后,会在%windows%/system32/目录下释放出一个动态链接库文件BoldSh01.dll,并在用户不知晓的情况下,调用系统的rundll32.exe进程来运行该文件。这样,它就可以不断注入桌面进程,搜索作案目标。
在这个过程中,BoldSh01.dll会在%windows%/system32/Drivers/目录下创建病毒文件67D43371.sys,这其实是一个伪装的文本文件,病毒会读取里面的信息,获得木马作者的网络联系方式。
该病毒针对的游戏为《热血江湖》、《剑侠情缘2》、《彩虹岛》、《完美世界》、《惊天动地》等,只要发现它们,就会立即创建相关线程,通过内存读写的方式窃取游戏帐号和密码等信息,并根据之前生成的67D43371.sys文件里的信息,将帐号密码发送到http://z**t.sn***2.cn/j*****jh/lin.asp这一木马作者指定的地址,给用户造成虚拟财产的损失。
二、“AUTO病毒37376”(Win32.Troj.Autorun.hw.37376) 威胁级别:★★
病毒顺利潜入电脑系统后,在%windows%/system32/目录下释放出病毒文件ie7.exe和Deleteme.bat。其中,Deleteme.bat为批处理文件,用于搜索病毒源文件并将其删除,避免用户发现。接着,病毒修改注册表启动项,将ie7.exe的相关信息加入其中,使自己以后都可以随系统启动而自动运行。
病毒在各磁盘中生成隐藏的AUTO病毒,分别是ie7.exe和autorun.inf辅助文件。当用户双击左键进入有AUTO病毒的盘时,病毒就会被再次激活,此后,只要在此台受害电脑上使用U盘等移动存储器,病毒就会立刻将其传染,扩大自己的势力范围。
由于此病毒运行过程中会耗费大量系统资源,电脑系统的反应速度会立竿见影地慢下来,几乎处于瘫痪状态,桌面右小角还会出现“Windows-虚拟内存最小值太低”的提示框。同时,病毒还会使某些卡巴斯基等著名杀软失效、无法正常升级。这样,用户系统的安全性会大大降低。这时,用户如果使用隐蔽软件扫描,可以发现两项已经被下载的恶意软件,分别是“ie7Faker”和“异常的Autorun.inf”,其中ie2Faker的作用是伪装成系统服务和从网络下载其它病毒。如此看来,此病毒集破坏杀软、耗费资源、下载病毒于一体,可谓劣迹斑斑。
