客服电话:400 610 7777
“游戏账号大杀器123904”(Win32.Hack.Agent.123904),这是一个网游盗号木马。它拥有非常多的变种,能盗窃几乎所有的网络游戏帐号。它同时还具备一定程度的对抗能力,会试图阻止安全软件的查杀。
“伪装型木马36864”(Win32.Troj.Agent.fu.36864),这是一个远程木马。它会伪装成360安全卫士的进程,连接病毒作者指定的服务器,等待黑客入侵。
一、“游戏账号大杀器123904”(Win32.Hack.Agent.123904) 威胁级别:★★
这个系列的盗号木马,目标游戏非常的多,基本囊括了市面上大多数的游戏。
病毒文件会被释放在%WINDOWS%\system32\目录下,文件名采取HB+游戏缩写的构成方式,比如HBWOW.Dll是盗取WOW的木马,盗大话西游的叫HBXY2.Dll,盗梦幻西游的叫HBmhly.Dll,以此类推。
该木马将简单粗暴有效的盗号原则贯彻的非常彻底,对各种游戏采用的盗号手段非常一致,都是采用将自身dll加载到正常游戏中,然后针对具体游戏,拦截内存中指定位置的帐号密码数据。
当成功截获后,赃物会被转化成统一的数据格式,发送到病毒指定的网络地址。毒霸反病毒工程师认为,病毒作者应该有一个强大的数据库用来收集与处理盗取来的帐号密码。
此木马具有还原SSDT表功能,可解除安全软件的防御。此外,旧版本的毒霸对其进行查杀时,该毒会“玩赖”,以一些冲突代码造成蓝屏现象,不过目前已经解决。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-hack-agent-123904-51808.html
二、“伪装型木马36864”(Win32.Troj.Agent.fu.36864) 威胁级别:★
它在进入电脑后,会将自己伪装成安全软件“360安全卫士”的服务,试图以此欺骗用户。
该木马主要通过网络进行传播。当通过下载器的帮助或捆绑正常文件等方式潜入用户电脑后,便将自身文件进行复制,并生成病毒文件Fuck.exe到系统目录%WINDOWS%\system32\”下,然后修改注册表,添加数据如下:“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\360tray”,这一动作是把它自己注册为服务项。
当用户再次开机时,病毒文件Fuck.exe就会运行起来,在后台悄悄连接病毒作者指定的一个远程服务器,开启后门,并向远程服务器发送入侵成功的信号。并静静蛰伏,等待黑客的下一步指令。
该木马拥有自我删除的功能,在完成注册表修改后,就会删除自己的原始文件,试图以此避免被用户发现。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-troj-agent-fu-36864-51809.html
金山反病毒工程师建议
1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.由于玩网络游戏、利用QQ等即时聊天工具交流的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,如不要登录不良网站、不要进行非法下载等,切断病毒传播的途径,不给病毒以可乘之机。
金山毒霸反病毒应急中心及时进行了病毒库更新,升级毒霸到2008年10月3日的病毒库即可查杀以上病毒;如未安装金山毒霸,可以登录http://www.duba.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816,反病毒专家将为您提供帮助。
标签: