游盗号木马猖狂盗取跑跑卡丁车账号新闻资讯中关村在线 - 中毒性休克

TUhjnbcbe - 2020/7/30 11:25:00

游盗号木马猖狂盗取跑跑卡丁车账号_新闻资讯_中关村在线

“游盗号木马152312”（.152312），该病*是《跑跑卡丁车》、《剑侠世界2》、《劲舞团》、《完美世界》等多款络游戏的盗号木马。病*运行后会衍生文件至系统目录下，并修改注册表生成启动项.通过注入进程，设置消息监视，截获用户的账号资料并发送到木马种植者的手上。 “劫持者下载器139378”（.139378），该病*为一个木马下载器。病*运行后复制自身到系统目录，修改注册表、添加启动项，以达到随机启动的目的。它会破坏杀*软件和安全辅助工具的正常运行，还会使中*用户无法进入安全模式下查杀病*。病*发作后期，它会下载其它木马，盗取用户电脑上的敏感资料。

一、“游盗号木马152312”（.152312）威胁级别：★ 一个贼好不容易进到别人家里，他要是只偷一样东西，肯定觉得亏。盗号木马也一样，在*霸病*分析师近来处理的盗号木马中，只针对某一游戏的木马，所占比例明显减小，取而代之的是可盗取多款游戏帐号的木马。比如昨日分析的这个盗号木马，它可同时盗取《跑跑卡丁车》、《剑侠世界2》、《劲舞团》、《完美世界》等多款游的帐号。该病*进入用户的电脑后，在系统盘%Program Files%\Common Files\Microsoft Shared\MSInfo\目录下释放出l、l2、e这三个病*文件，并修改注册表数据，将它们写入启动项，实现开机自启动。病*运行后的行为并不复杂，它通过启动之前生成的病*主文件 e ，将 l 注入到系统桌面进程 e 当中，搜寻络游戏《跑跑卡丁车》、《剑侠世界2》、《劲舞团》、《完美世界》的进程，然后建立消息监视，从用户与游戏服务器的通信消息中筛选出用户的账号和密码等信息，并在后台悄悄建立远程连接，把赃物以页提交的方式发送到木马种植者手中，给用户造成虚拟财产的损失。应该说现在大部分的安全软件，哪怕只是个简单的安全辅助软件，都具备处理盗号木马的能力，但毕竟木马变种层出不穷，躲避和对抗安全软件的能力也不断加强，因此大家仍需提高警惕，比如不要下载未经官方认证的外挂插件、不要轻信要求你提供帐号密码的游抽奖活动等。关于该病*的详细分析报告，可在金山病*大百科中查阅：

二、“劫持者下载器139378”（.139378）威胁级别：★★ 可对抗安全软件和用户的病*始终没逃脱*霸病*分析师的视线。在昨日分析的病*中，*霸再次发现了这类病*的身影。该病*实际上是一个木马下载器。它通过修改系统注册表，实现随系统启动而启动，以便一劳永逸地运行下去。为防止用户发现自己电脑中出现多余的文件，它会顺便改篡改注册表中的相关数值，将隐藏文件的显示模式改为不可见，再把自己的病*文件设置隐藏模式。同时，它还会破坏 Windows 系统的更新服务，防止系统升级后具备对付它的能力。遇到系统异常，你也许会想到运行计算机上的“帮助与支持中心服务”功能吧，很遗憾，它已经被病*破坏了。而如果你试图手动查杀病*，会发现系统的络地址转换、寻址、名称解析、和入侵保护服务，以及监视系统安全设置和配置服务已经被病*设为禁用，甚至连安全模式也被破坏——病*不会给你任何查杀它的机会。也许一些用户会问：我安装的安全软件是干什么吃的！？原来，病*在进入电脑的瞬间，就已经利用“ IFEO 重定向劫持技术”抢先下手，劫持了你的安全软件。被劫持的安全软件不但无法正常工作，而且当你运行它们时，只会再次激活病*。由于病*的黑名单非常庞大，几乎所有目前市场上已有的的杀*软件和安全辅助软件都会“中招”。完成以上步骤后，病*便连接木马种植者指定的多个远程地址，下载木马程序到用户电脑上运行。这些木马程序主要是盗取用户电脑中的敏感信息，这里面包括你在任何密码输入窗口中输入的数据，以及看上去像是帐号的字符。同时，病*搜索包括U盘等移动存储设备在内的所有磁盘分区，在它们的根目录下释放出AUTO病*文件“f ”和对应可执行病*文件“.exe”。只要你双击含*磁盘，病*就能再次运行起来，重新搜索所有磁盘分区进行感染，从而不断扩大自己的传播范围。关于该病*的详细分析报告，可在金山病*大百科中查阅：金山反病*工程师建议 1.最好安装专业的杀*软件进行全面监控，防范日益增多的病*。用户在安装反病*软件之后，应将一些主要监控经常打开（如邮件监控、内存监控等）、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。 2.由于玩络游戏、利用QQ聊天的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的络使用习惯，及时升级杀*软件，开启防火墙以及实时监控等功能，切断病*传播的途径，不给病*以可乘之机。

查看本文作者金山的其他文章>>