我爱电脑技术论坛 » 网络安全区 » 金山毒霸2008提醒“完美世界盗号器”和“视觉控制”木马病毒解析

麦迪 发表于 2008-6-10 22:36

金山毒霸2008提醒“完美世界盗号器”和“视觉控制”木马病毒解析

金山毒霸2008提醒“完美世界盗号器”和“视觉控制”木马病毒解析
+Wps)Hi!ZN %f v6X6H#^
\W:k/d1x/e'z
一、“完美世界盗号器”是网络游戏《完美世界》的盗号木马。木马病毒运行后会添加注册表增加启动项$jpjJ#y S
+k ]8{s3cL
，注入进程，把截获到的账号和密码等信息发送到木马种植者的邮箱当中。
S&J0BxI We f'jo:Sk9q@
木马病毒进入系统后，会试图在系统盘下建一个名为Syswm1h的隐藏文件夹，然后将自己的文件
s4\.VCRN8gt
Ds+SxB6Hc svchost.exe和Ghook.dll释放到其中。不过，由于木马病毒作者指定的路径为C盘根目录，如果你的系统
.A!E;XGe;_G2T
!h}|GGB 盘不在C盘上，那木马病毒就无法完成这个动作了。
'm4H h3c*qQ?
FOF-wx n,Gw_ 如果可以成功释放出文件，木马病毒就修改系统注册表实现开机自启动，并将DLL文件注入桌面进程
(b2M-lWf +vl2V)AM0O-LL
Explorer.exe，搜寻《完美世界》的进程。然后就建立消息监视，从游戏客户端与服务器端的通讯中截获
w"X7{-wWF
f$g W#k c^8i 帐号与密码，发送到木马种植者指定的邮箱。令用户玩家受到虚拟财产的损失。
1mwx#[VB$z 7sU;a:A0f

]l,vs1Q d cN3dW 二、“视觉控制”是个远程控制木马。病毒伪装成正常文件的图标，诱骗用户点击，运行起来后就监视用
q N0u+V4]Rj|Tc MQ FC6G%D:l [
户的屏幕和视频设备，帮助黑客对用户进行远程控制。0K B8A C W*B6L8JI

e-_nz!{*xWf
h 此木马病毒比较大的一个特点是，它会伪装正常的常用文件的图标，诱骗用户点击，使它得以运行。至于
5is!b(Y f1NE
i'}:oK.ew-? 采用何种图标，则根据变种的不同而不同。在此篇预警播报所描述的版本中，它采用的是QQ即时聊天工具
#o4Y9B(d4A'g C8Jo @gz8Pup
的图标，但在其它版本中，则存在有WORD文档、文件夹、MSN等多种图标。U@|0Av4p)l&fH-em
TFW/K pw sn5j
当被点击激活后，木马病毒就释放出userdata.exe和userdata.dll文件到WINDOWS目录下。不过，这些文(osh3e)t9i0n tz
KJ$dZW)^'T c-S
件的名称不固定，它们也可能采用其它看似正常的系统文件的名称。接着，木马病毒就注入svchost.exe)aw)x9u@i

$C8TR4i:np 等系统进程，隐蔽地运行自己。ncY ]M2CJrNa!K
2b;n vg9ol$];r|
如果木马病毒顺利运行起来，就与木马病毒作者指定的远程地址连接，使得黑客可以监视用户的电脑屏幕
f|b2SZI{ 7lL*Wi^\S9a
，以及在无任何提示的情况下启动视频设备，并且还可以执行任何他想要的其它非法操作。

查看完整版本: 金山毒霸2008提醒“完美世界盗号器”和“视觉控制”木马病毒解析