剖解网游大盗OnlineGames.eq.77824行凶过程
上一篇 /
下一篇 2007-12-15 18:39:51
�X.q/Z'o�?+t�`'{-N9Z8o�`7590422随着网络用户的增多,越来越多的游戏玩家都担心起游戏装备与帐号的安全,有的用户更是想方设法的利用各种保护措施增加安全性,以防被盗情况的发生。然尔即便如此,仍难逃脱恶运。很多恶意用户还是将黑手伸向了网游用户的电脑,其利用各种方式进行帐号密码的截获与盗取,使得网游用户终日笼罩在木马病毒的阴影中。
m�i'm2]*z6f7590422IXPUB技术博客5F7V-o�T2i�n�T�z�w网游大盗77824
o�\�R0g'J�t7590422这不最近作者遇上了Win32.PSWTroj.OnlineGames.eq.77824即传说中的网游大盗77824。该木马是一个显著的盗取网络游戏帐号的木马,其通过后台修改注册表服务项启动方式,使自己随同计算机一起自动启动。当病毒服务启动后,会将病毒DLL文件注入到各进程中,等待网游用户进入游戏,从而伺机盗取《武林外传》、《完美世界》、《诛仙》等网络游戏的帐号信息。
�a1j'y�a-m�p7590422
n7H�}3i�[�c�i7590422该病毒木马一但驻扎到用户计算中后,木马自身将在%systemroot%\system32目录下释放出gdwli32.dll和gdwli32.cfg文件,并随后在%systemroot%\system32\drivers下生成comint32.sys文件。当病毒完成上述条件后,源体开始自动创建一条线程并且不断重写注册表服务项和病毒服务文件(comint32.sys),并启动该服务(病毒服务)。随后病毒DLL文件 gdwli32.dll 通过启动其病毒服务注入各进程。随后病毒木马程序运行,病毒自身将开始判断所挟带的DLL文件是否注入到 ElementClient.exe 进程,如果是则读取该进程目录下的 userdata\currentserver.ini 文件,以获取用户所在游戏服务器的相关信息,随后开始将盗取的帐号信息并发送到木马种植者指定的接收网址hxxp://www.p**gl***o.com/wl/l**.asp?s=#***=#。IXPUB技术博客-x2@�\�c(|�o/i�G�v�w ?
n
-E�A�[4x8V8U�Y
~:i7590422该病毒自动创建的注册表项如下:IXPUB技术博客�Q�V�}*h�T8`0_�W3n
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\comint32
2g%z�P�D�_7590422HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WLIXPUB技术博客�r)d�d�R�A�d4v8a�S�D
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_COMINT32IXPUB技术博客�F5E�Z�B�_)c�_
�k�y2l�D�H�q;}�F7590422病毒一但完成上述所有条件,那么用户电脑将不再有安全可言,其如果安装有《武林外传》、《完美世界》、《诛仙》等网络游戏,那么帐号密码将在后台被该网游大盗77824所获取,并从后台开始外发。由于该木马采用注入正常程序的进程中运行 ,并不断重写服务和检查自身是否正常运行,将会使中毒电脑系统变慢,系统稳定性降低,当用户进入到计算机安全模式时,病毒也会启动成功。该种加载方式,对网游用户来说无疑是一个不小的打击。
-?!O�p+Q(B;k�b�~4G�b7590422IXPUB技术博客�`�C�j2E%H�G预防措施
�K'Q)f k�F�A7590422游戏玩家要小心使用游戏外挂或其它第三方的程序,对网友发过来的图片、程序等应该提高警惕。及时升级杀毒软件,是减少帐号被盗的重要手段,此处总结两点如下:
,L(}%C�P�|#|�J:R�s�b8?7590422IXPUB技术博客�g�~�y'k;S�d&g一、在面对网友或同类游戏玩家发送来的陌生网址时,如无打开的必要就将其关闭,如一定要打开,那么在打开前要将本机所安装的杀毒软件与第三方安全软件更新到最新版本,进行全机监控。
�D�z�i�Y�C3}7590422IXPUB技术博客
I0Q�t�I0q�]-Z�K二、对于网络中下载或陌生人之前传输的程序文件,为了避免软件捆绑,用户在打开前有必要利用第三方安全检测软件进行检测,以达在第一时间发现病毒木马程序,即时作出处理。对于QQ类的即时通讯软件之间的尾巴病毒则千万不要点击,以免中招。IXPUB技术博客�]"V�S2g�o2~�@�T�u
IXPUB技术博客3N/|�r:i�f�e病毒清除解决办法IXPUB技术博客�^5_+J�A%W,O:q'A
用户需升级自身的安全软件到最新病毒库,进行全面查杀。如果是使用金山毒霸2008的用户,当毒霸提示需要重启才能清除病毒时,建议立即重启。或者使用金山清理专家彻底删除以下三个文件,如下:%systemroot%\system32\gdwli32.dll (注:%systemroot%指windows目录,注意很多病毒会隐藏在windows\system32目录)、%systemroot%\system32\gdwli32.cfg、%systemroot%\system32\drivers\comint32.sys(伪装成一个正常的设备驱动)即可。IXPUB技术博客�q�X�p�x*s�f2?�k
IXPUB技术博客 P%w�n/z$V�C编者按:病毒木马一波接着一波,网络用户一个不慎即将跌入黑暗的魔手,面对如此猖狂的恶意用户,玩家应该即时提高警惕,加装防火墙与组建电脑安全策略以防止病毒木马的进入,全面保卫自已的帐号安全方为上策。IXPUB技术博客�_�m�C�t+m�b�G$X�K
导入论坛
引用链接
收藏
分享给好友
推荐到圈子
管理
举报
TAG:
