“梦幻西游盗号者17408”(PE.Win32.PSWTroj.OnLineGames.17408)是一个盗号木马程序。该程序会盗取网络游戏《梦幻西游》的帐号信息,并下载其它病毒至受害电脑上运行。
“网银劫匪183808”(Win32.Expiro.b.183808),这是一个盗窃购物网站帐号以及网银密码的木马。它会监视用户浏览记录,如果发现用户当前正在浏览ebay等购物网站以及网上银行,就会展开键盘记录,盗取用户输入的敏感信息。
一、“梦幻西游盗号者17408”(PE.Win32.PSWTroj.OnLineGames.17408)威胁级别:★
这是一个“常规”的盗号木马,不具备对抗安全软件的能力,但它会下载其它木马到电脑中充当帮凶,尽可能多地“榨取”用户电脑中的敏感信息。
病毒在系统中释放出大量的病毒文件,主要隐藏在%WINDOWS%\Temp\目录和%WINDOWS%\system32\目录下。文件释放完毕后,病毒篡改系统注册表,创建大量的病毒启动项,实现开机自启动。
接着,病毒注入系统进程services.exe中,并加载释放出的病毒文件 MSDEG32.DLL 和mhsha1.dat,通过搜索《梦幻西游》的进程“MY.EXE”、查找名字为“梦幻西游”的游戏窗口的方法找到游戏主程序。一旦发现目标,病毒就会通过内存读写的方式窃取玩家的帐号信息,并将其发送到http://www.r****wd.com/c**/、http://www.5****1.com等多个由木马作者指定的远程服务器。
如果以为它偷完东西就完事,那可错了。该病毒还会连接远程服务器,下载其它木马文件安装至本地计算机,试图盗取更多的敏感资料。不过只要安装了毒霸,就不用担心它的这些小动作了。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅:http://vi.duba.net/virus/pe-win32-pswtroj-onlinegames-17408-50488.html
二、“网银劫匪183808”(Win32.Expiro.b.183808)威胁级别:★★
盗号木马作者不会仅仅满足于盗窃网游帐号,只要有足够的利润驱动,他们会更愿意直接对你的银行帐号下手,毕竟银行帐号里的是现钱。从毒霸反病毒工程师统计到的资料看,下面这个盗号木马和它的一系列变种在近期有较高的作案可能。
这个木马是利用感染正常文件来进行传播的。如果用户运行被感染的文件,病毒就会被激活,开始搜寻正常文件。它会先将正常文件复制一份,以.ivr结尾,感染完毕后再将其删除。被感染的文件,会被加上.data 、.text、.bss、.data等后缀。
感染,只是为了不断扩张自己的传播范围,该病毒真正的盗号行为是在内存中进行。它被激活后,会不断搜索用户当前的浏览记录,如果监视到用户正在浏览ebay等购物网站及网银,就会展开键盘记录,记下用户敲入的帐号、密码等敏感信息,然后发送到木马作者指定的地址。
