貪婪盜號木馬同時偷取數款網絡遊戲賬號

【賽迪網-IT技術報道】「網游盜號木馬152312」（Win32.PSWTroj.OnlineGames.lo.152312），該病毒是《跑跑卡丁車》、《劍俠世界2》、《勁舞團》、《完美世界》等多款網絡遊戲的盜號木馬。病毒運行後會衍生文件至系統目錄下，並修改註冊表生成啟動項.通過注入進程，設置消息監視，截獲用戶的賬號資料並發送到木馬種植者的手上。

「劫持者下載器139378」（Win32.TrojDownloader.Agent.bl.139378），該病毒為一個木馬下載器。病毒運行後複製自身到系統目錄，修改註冊表、添加啟動項，以達到隨機啟動的目的。它會破壞殺毒軟體和安全輔助工具的正常運行，還會使中毒用戶無法進入安全模式下查殺病毒。病毒發作後期，它會下載其它木馬，盜取用戶電腦上的敏感資料。

一、「網游盜號木馬152312」（Win32.PSWTroj.OnlineGames.lo.152312） 威脅級別：★

一個賊好不容易進到別人家裡，他要是只偷一樣東西，肯定覺得虧。盜號木馬也一樣，在毒霸病毒分析師近來處理的盜號木馬中，只針對某一遊戲的木馬，所佔比例明顯減小，取而代之的是可盜取多款遊戲賬號的木馬。

比如昨日分析的這個盜號木馬，它可同時盜取《跑跑卡丁車》、《劍俠世界2》、《勁舞團》、《完美世界》等多款網游的賬號。該病毒進入用戶的電腦後，在系統盤%Program Files%/Common Files/Microsoft Shared/MSInfo/目錄下釋放出SysInfo1.dll、SysInfo1.dll2、wyls.exe這三個病毒文件，並修改註冊表資料，將它們寫入啟動項，實現開機自啟動。

病毒運行後的行為並不複雜，它通過啟動之前生成的病毒主文件 wyls.exe ，將 SysInfo1.dll 注入到系統桌面進程 Explorer.exe 當中，搜尋網絡遊戲《跑跑卡丁車》、《劍俠世界2》、《勁舞團》、《完美世界》的進程，然後建立消息監視，從用戶與遊戲伺服器的通信消息中篩選出用戶的賬號和密碼等信息，並在後台悄悄建立遠程連接，把贓物以網頁提交的方式發送到木馬種植者手中，給用戶造成虛擬財產的損失。

應該說現在大部分的安全軟體，哪怕只是個簡單的安全輔助軟體，都具備處理盜號木馬的能力，但畢竟木馬變種層出不窮，躲避和對抗安全軟體的能力也不斷加強，因此大家仍需提高警惕，比如不要下載未經官方認證的外掛插件、不要輕信要求你提供賬號密碼的網游抽獎活動等。

二、「劫持者下載器139378」（Win32.TrojDownloader.Agent.bl.139378） 威脅級別：★★

可對抗安全軟體和用戶的病毒始終沒逃脫毒霸病毒分析師的視線。在昨日分析的病毒中，毒霸再次發現了這類病毒的身影。

該病毒實際上是一個木馬下載器。它通過修改系統註冊表，實現隨系統啟動而啟動，以便一勞永逸地運行下去。為防止用戶發現自己電腦中出現多餘的文件，它會順便改篡改註冊表中的相關數值，將隱藏文件的顯示模式改為不可見，再把自己的病毒文件設置隱藏模式。同時，它還會破壞 Windows 系統的更新服務，防止系統升級後具備對付它的能力。

遇到系統異常，你也許會想到運行計算機上的「幫助與支持中心服務」功能吧，很遺憾，它已經被病毒破壞了。而如果你試圖手動查殺病毒，會發現系統的網絡地址轉換、尋址、名稱解析、和入侵保護服務，以及監視系統安全設置和配置服務已經被病毒設為禁用，甚至連安全模式也被破壞－－病毒不會給你任何查殺它的機會。

也許一些用戶會問：我安裝的安全軟體是幹什麼吃的！？原來，病毒在進入電腦的瞬間，就已經利用「 IFEO 重定向劫持技術」搶先下手，劫持了你的安全軟體。被劫持的安全軟體不但無法正常工作，而且當你運行它們時，只會再次激活病毒。由於病毒的黑名單非常龐大，幾乎所有目前市場上已有的的殺毒軟體和安全輔助軟體都會「中招」。

完成以上步驟後，病毒便連接木馬種植者指定的多個遠程地址，下載木馬程序到用戶電腦上運行。這些木馬程序主要是盜取用戶電腦中的敏感信息，這裡面包括你在任何密碼輸入窗口中輸入的資料，以及看上去像是賬號的字符。

同時，病毒搜索包括USB隨身碟等移動儲存設備在內的所有硬碟分區，在它們的根目錄下釋放出AUTO病毒文件「autorun.inf 」和對應可執行病毒文件「.exe」。只要你雙擊含毒硬碟，病毒就能再次運行起來，重新搜索所有硬碟分區進行感染，從而不斷擴大自己的傳播範圍。

金山反病毒工程師建議

1.最好安裝專業的殺毒軟體進行全面監控，防範日益增多的病毒。用戶在安裝反病毒軟體之後，應將一些主要監控經常打開（如郵件監控、記憶體監控等）、經常進行升級、遇到問題要上報，這樣才能真正保障計算機的安全。

2.由於玩網絡遊戲、利用QQ聊天的用戶數量逐漸增加，所以各類盜號木馬必將隨之增多，建議用戶一定要養成良好的網絡使用習慣，及時升級殺毒軟體，開啟防火牆以及實時監控等功能，切斷病毒傳播的途徑，不給病毒以可乘之機。

(