xiaorayi

近期盗号木马猖獗 玩家注意保护账号安全，提醒各位网游朋友在玩网络游戏前，请务必装好防火墙以及防木马病毒的监察软件和杀毒软件，并及时升级，以免账号丢失。以下是近日最新出现的网游盗号病毒：



　　“安德夫木马变种GLM（Trojan.Win32.Undef. glm）”病毒：警惕程度★★★，木马病毒，通过网络传播，依赖系统：Windows NT/2000/XP/2003。
　　这是一个木马病毒。病毒运行后会将自身文件复制到系统目录下，并修改注册表启动项，实现随系统自启动。病毒会将自身注入到系统正常进程，给用户查杀病毒带来困难。此外，病毒会试图关闭多种杀毒软件和安全工具，并会纪录用户键盘和鼠标操作，窃取用户的网游的帐号、密码等隐私信息，并发送给黑客，使玩家蒙受损失。

　　“安德夫木马变种GVS（Trojan.Win32.Undef. gvs）”病毒：警惕程度★★★，木马病毒，通过网络传播，依赖系统：Windows NT/2000/XP/2003。
　　这是一个木马病毒。病毒运行后会将自身文件复制到系统目录下，并修改注册表启动项，实现随系统自启动。病毒会将自身注入到系统正常进程，给用户查杀病毒带来困难。此外，病毒会试图关闭多种杀毒软件和安全工具，并会纪录用户键盘和鼠标操作，窃取用户的网游的帐号、密码等隐私信息，并发送给黑客，使玩家蒙受损失。

　　Flash插件存在重大漏洞 可被木马利用窃取网游密码
　　瑞星互联网攻防实验室向网民发出警报，IE浏览器中广泛应用的Flash Player插件存在严重漏洞，网上已出现利用该漏洞传播的多种木马病毒。瑞星安全专家马杰介绍说，旧版Flash插件（9.0.115.0版及之前的版本）都存在该漏洞，Adobe公司已经在网上提供了弥补该漏洞的9.0.124版本，建议用户尽快升级：http://www.adobe.com/shockwave/d ... ger/en/1/index.Html。
　　据介绍，用户可以采取以下方式了解自己电脑上的Flash插件版本，双击我的电脑，在左侧打开“添加删除程序”，找到Adobe Flash Player ActiveX，然后选择“单击此处获取支持信息”。

1.jpg (181.35 KB)

2008-6-3 16:47

　　目前瑞星已截获多个利用此漏洞的木马病毒样本，并第一时间进行了升级。根据瑞星技术部门分析，目前已截获的主要是木马下载器病毒，它们会从网上下载其它多种盗号木马，窃取流行网络游戏的帐号和装备。
　　据不完全统计，目前已有数十个黑客论坛、QQ黑客群在私下出售此类木马，病毒作者在帖子里宣称“最新flash 0day网马，中率70%以上，过IE7。只为赚名不为赚钱跳楼价：５０００，购买请联系QQ群：*****”。瑞星专家介绍说，由于盗号木马窃取到的账号、装备往往价值很高，盗号木马的标价通常高达数百到数千元。
　　瑞星安全专家提醒网民，目前已对截获的Flash盗号木马进行了紧急处理，最新版本的瑞星杀毒软件2008版可以进行彻底查杀；同时，用户也可以把自己的网游、网银帐号放入“瑞星账号保险柜”，这样就可以避免盗号木马的攻击。

　　“线上游戏窃取者变种NQI (Trojan.PSW.Win32.GameOL. nqi)”病毒：警惕程度★★★，盗号木马病毒，通过网络传播，依赖系统：Windows NT/2000/XP/2003。
　　这是一个偷游戏密码的病毒。病毒运行后会在System32路径下释放病毒文件ayTQQTQQ1011.exe和ayTQQTQQ1011.dll,改写注册表项实现自启动。病毒会把动态库注入到Explorer.exe进程中并查找进程中是否存在游戏进程，当找到游戏进程时，把自己注到游戏进程中，获取用户输入的账号密码并发送到指定的网址。运行完毕之后，该病毒还会删除自身，逃避杀毒软件的查杀。

　　“线上游戏窃取者变种NPT (Trojan.PSW.Win32.GameOL. npt)”病毒：警惕程度★★★，盗号木马病毒，通过网络传播，依赖系统：Windows NT/2000/XP/2003。
　　这是一个偷游戏密码的病毒。病毒运行后会在System32路径下释放病毒文件ayTQQTQQ1011.exe和ayTQQTQQ1011.dll,改写注册表项实现自启动。病毒会把动态库注入到Explorer.exe进程中并查找进程中是否存在游戏进程，当找到游戏进程时，把自己注到游戏进程中，获取用户输入的账号密码并发送到指定的网址。运行完毕之后，该病毒还会删除自身，逃避杀毒软件的查杀。

　　“灰鸽子变种BHB（Backdoor.Win32.Gpigeon2007. bhb）”病毒：警惕程度★★★，后门病毒，通过网络传播，依赖系统：Windows NT/2000/XP/2003。
　　该病毒运行时会首先将自身拷贝到系统目录下，并设置成隐藏、系统、只读属性。然后病毒会创建系统服务，实现随系统自启动。它还会新建IE进程并设置该进程为隐藏，然后将病毒自身插入该进程中。通过在后台记录用户键盘操作，病毒会偷取用户信息和本地系统信息等，并将该信息发送给黑客。如此用户计算机将被远程控制，不自主地删除文件，远程下载上传文件，修改注册表等等，给用户的计算机和隐私安全带来很大隐患。

　　“西游木马变种AET (Trojan.PSW.Win32.XYOnline. aet)”病毒：警惕程度★★★☆，盗号木马，通过网络传播，依赖系统：Windows NT/2000/XP/2003。
　　该木马运行后，在系统目录下释放msosdohs00.Dll、msosfpids32.Sys病毒文件，修改注册表实现随系统启动。不断搜索杀毒软件进程，并试图将其强行关闭，使得某些杀毒软件不能正常运行。窃取《大话西游2》的游戏账号和密码，并将其发送出去。

　　“安德夫木马变种OA（Trojan.Win32.Undef. oa）”病毒：警惕程度★★★，后门病毒，通过网络传播，依赖系统：Windows NT/2000/XP/2003。
　　这是一个木马病毒。病毒运行后会将自身文件复制到系统目录下，并修改注册表启动项，实现随系统自启动。病毒会将自身注入到系统正常进程，给用户查杀病毒带来困难。此外，病毒会试图关闭多种杀毒软件和安全工具，并会纪录用户键盘和鼠标操作，窃取用户的网游的帐号、密码等隐私信息，并发送给黑客，使玩家蒙受损失。

来源：瑞星

xiaorayi

　　“完美世界盗号器114688”（Win32.PSWTroj.OnlineGames.hu.114688） 威胁级别：★
　　这个盗号木马利用消息监控的方式来盗取《完美世界》玩家的帐号和密码。它的原理普通，但由于借助下载器和捆绑其它文件，近来该毒和它的若干变种的传染趋势有所增强。
　　病毒进入系统后，会试图在系统盘下建一个名为Syswm1h的隐藏文件夹，然后将自己的文件svchost.exe和Ghook.dll释放到其中。不过，由于病毒作者指定的路径为C盘根目录，如果你的系统盘不在C盘上，那病毒就无法完成这个动作了。
　　如果可以成功释放出文件，病毒就修改系统注册表实现开机自启动，并将DLL文件注入桌面进程Explorer.exe，搜寻《完美世界》的进程。然后就建立消息监视，从游戏客户端与服务器端的通讯中截获帐号与密码，发送到木马种植者指定的邮箱。令玩家受到虚拟财产的损失。

　　“魔域对抗型盗号木马57344”（Win32.Troj.OnlineGameT.zp.57344） 威胁级别：★
　　这个盗号木马具有对抗安全软件的能力，且近来变种较多。
　　病毒在%WINDOWS%\system32\目录下释放出病毒文件ttMYSMYS1053.exe和ttMYSMYS1053.dll，并在%WINDOWS%\system32\drivers\目录下释放出自己的驱动XNGAnti.sys和ReloadAnti.sys。
　　接着，病毒就枚举系统进程，结束360安全卫士的实时监控程序和《魔域》游戏的进程。与此同时，它将自己添加到系统注册表启动项中，实现自启动，并利用自己的驱动文件恢复系统SSDT表中的数据，造成一些具有主动防御功能的杀毒软件的“主防”。这样一来，这些杀软的安全防护能力就大大降低。
　　最后，病毒就注入系统桌面进程，等待用户重启游戏程序，然后记录下所输入的帐号密码信息，将它们发送到病毒作者指定的地址。

　　“木马下载器126976”（Win32.TrojDownloader.Banload.126976） 威胁级别：★
　　病毒一旦进入系统，就会立即在当前目录下运行起来，获取系统盘下的%WINDOWS%\System32\目录地址。判断自己想要下载的病毒文件是否已在其中，如果没有，病毒就连接病毒作者指定的地址，开始下载行为。
　　它从http://vox**rds.i*.com.br/cartao.asp?c=8410 这个地址下载一份最新的下载列表，然后根据列表中的地址去下载其它病毒文件。为保证下载可以成功，病毒作者给每种病毒都设定了多个不同的下载地址。
　　当下载完成，病毒就修改系统注册表，将这些下载到的病毒的相关数据写入启动项，实现它们的开机自动运行。经毒霸反病毒工程师检查，这些病毒以盗号木马为主，目标是网络游戏和网银。

　　“盗号木马下载器90112”（Win32.TrojDownloader.Small.90112） 威胁级别：★
　　这个木马下载器的运行原理非常简单，大部分安全软件都能够查杀它。但由于借助其它对抗型下载器的帮忙，它近来的传播趋势较为明显。
　　病毒进入系统后，直接复制自己到系统盘的%WINDOWS%目录下，然后修改系统注册表启动项，实现开机自启动。如果成功运行起来，就会连接到http://new.******99.com/ma/这个由病毒作者指定的远程地址，下载其它病毒。
　　被下载的病毒共20个，名称为由0至19的exe可执行文件，其中大部分是网游盗号木马。
　　来源：金山毒霸

xiaorayi

病毒名称：Trojan/Inject.nz
　　中 文 名：“植木马器”变种nz
　　病毒长度：43008字节
　　病毒类型：木马
　　危害等级：★
　　影响平台：Win 9X/ME/NT/2000/XP/2003
　　Trojan/Inject.nz“植木马器”变种nz是“植木马器”木马家族的最新成员之一，采用高级语言编写，并经过添加保护壳处理。“植木马器”变种nz运行后，自我复制到被感染计算机系统的“%SystemRoot%\system32\”目录下，重命名为“Ir32_a.exe”。修改注册表，实现木马开机自动运行。定期检查相关内容，防止被用户更改。将病毒代码注入到“explorer.exe”进程中调用运行，隐藏自我，防止被查杀。在被感染计算机后台连接骇客指定站点，下载恶意程序并自动调用运行。其中，所下载的恶意程序可能包含网游木马、恶意广告程序、后门等，给用户带来不同程度的损失。另外，“植木马器”变种nz还可能与骇客指定的服务器建立网络连接，侦听骇客的指令，致使骇客可通过“植木马器”变种nz远程控制被感染计算机，从而严重威胁用户计算机信息安全。

　　病毒名称：Win32/Downloader.al
　　中 文 名：“盗游器”变种al
　　病毒长度：59777字节
　　病毒类型：感染性病毒
　　危险级别：★★
　　影响平台：Win 9X/ME/NT/2000/XP/2003
　　Win32/Downloader.al“盗游器”变种al是“盗游器”感染性病毒家族的最新成员之一，采用VC++编写，并经过添加保护壳处理。“盗游器”变种al运行后，自我复制到被感染计算机系统“%SystemRoot%\system32”目录下，重命名为“mscrss.exe”，并在同一目录下释放病毒组件“mscrss.dll”。自我注册为系统服务，实现“盗游器”变种al开机自动运行。遍历所有磁盘分区，感染除某些指定程序以外的绝大部分*.exe文件。在各个盘符的“Config.Msi”目录下释放病毒文件“mscrss.exe”，并在各个盘符根目录下创建“autorun.inf”文件，实现双击盘符启动“盗游器”变种al运行。查找并强行关闭某些安全软件，大大降低了被感染计算机上的安全性。查找并感染磁盘中后缀名为cgi、php、jsp、asp、html、htm的文件，利用这些文件进行网页挂马。另外，“盗游器”变种al还会连接骇客指定站点，下载恶意程序并自动安装运行，给用户带来一定程度的危害。
　
　病毒名称：TrojanDropper.Driver.a
　　中 文 名：“驱动杀手”变种a
　　病毒长度：19781字节
　　病毒类型：木马
　　危险级别：★★
　　影响平台：Win 9X/ME/NT/2000/XP/2003
　　TrojanDropper.Driver.a“驱动杀手”变种a是“驱动杀手”木马家族的最新成员之一，采用VC++ 6.0编写，并经过加壳处理。“驱动杀手”变种a运行后，在被感染计算机上释放多个恶意DLL组件文件，并将文件属性设置为系统、隐藏、存档。在被感染计算机系统的后台将“%SystemRoot%\system32\drivers\”目录下的驱动文件“beep.sys”替换成恶意驱动程序，并将恶意驱动程序自我注册为系统服务，还原系统“SSDT HOOK”，从而使部分安全软件的保护功能失效，达到躲避安全软件的防御和查杀的目的。该恶意驱动程序执行完毕后会自我删除，并还原恢复被病毒替换的系统驱动文件“beep.sys”。修改注册表，实现木马开机自动运行。将恶意DLL组件程序插入到所有用户级权限的进程中加载运行，隐藏自我，防止被查杀。在被感染计算机系统的后台利用HOOK技术和内存截取等技术盗取网络游戏《大话西游II》玩家的游戏帐号、游戏密码、仓库密码、角色等级、金钱数量、所在区服、计算机名称等信息，并在后台将玩家信息发送到骇客指定的远程服务器上，致使玩家的游戏帐号、装备物品、金钱等丢失，给游戏玩家带来非常大的损失。另外，“驱动杀手”变种a还具有躲避防火墙监控的功能，大大降低被感染计算机上的安全性。

　　病毒名称：TrojanSpy.Agent.epb
　　中 文 名：“代理木马”变种epb
　　病毒长度：20480字节
　　病毒类型：间谍类木马
　　危险级别：★★
　　影响平台：Win 9X/ME/NT/2000/XP/2003
　　TrojanSpy.Agent.epb“代理木马”变种epb是“代理木马”木马家族的最新成员之一，采用VC++ 6.0编写，并经过加壳保护处理。“代理木马”变种epb运行后，自我插入到被感染计算机的系统“RUNDLL32.EXE”进程中加载运行，隐藏自我，防止被查杀。修改注册表，实现木马开机自动运行。在被感染计算机系统中的“%SystemRoot%\system32\drivers\”目录下释放恶意驱动文件“hbkernel.sys”，并将其注册为系统服务，用来还原系统“SSDT HOOK”，从而使部分安全软件的保护功能失效，达到躲避安全软件的防御和查杀的目的。在被感染计算机系统的后台利用HOOK技术和内存截取等技术盗取网络游戏《梦幻西游》玩家的游戏帐号、游戏密码、仓库密码、角色等级、金钱数量、所在区服、计算机名称等信息，并在后台将玩家信息发送到骇客指定的远程服务器上，致使玩家的游戏帐号、装备物品、金钱等丢失，给游戏玩家带来非常大的损失。

　　病毒名称：Trojan/PSW.OnLineGames.tsg
　　中 文 名：“网游窃贼”变种tsg
　　病毒长度：9614字节
　　病毒类型：木马
　　危害等级：★
　　影响平台：Win 9X/ME/NT/2000/XP/2003
　　Trojan/PSW.OnLineGames.tsg“网游窃贼”变种tsg是“网游窃贼”木马家族的最新成员之一，采用VC++ 6.0编写，并经过加壳保护处理。“网游窃贼”变种tsg运行后，自我插入到被感染计算机的系统“explorer.exe”进程中加载运行，隐藏自我，防止被查杀。修改注册表，实现木马开机自动运行。在被感染计算机系统的后台利用HOOK技术和内存截取等技术盗取网络游戏《QQ华夏》玩家的游戏帐号、游戏密码、仓库密码、角色等级、金钱数量、所在区服、计算机名称等信息，并在后台将玩家信息发送到骇客指定的远程服务器站点上，致使《QQ华夏》游戏玩家的游戏帐号、装备物品、金钱等丢失，给游戏玩家带来非常大的损失。另外，“网游窃贼”变种tsg还具有反部分安全软件的功能，防止被安全软件监视和查杀，大大降低了被感染计算机上的安全性。

　　病毒名称：TrojanDownloader.ConHook.km
　　中 文 名：“假钩子”变种km
　　病毒长度：29312字节
　　病毒类型：木马下载器
　　危害等级：★
　　影响平台：Win 9X/ME/NT/2000/XP/2003
　　TrojanDownloader.ConHook.km“假钩子”变种km是“假钩子”木马家族的最新成员之一，采用高级语言编写，并经过加壳处理。“假钩子”变种km是由其它病毒体释放出的DLL病毒组件，一般被注册为浏览器辅助插件（BHO），随IE浏览器启动而加载运行。“假钩子”变种km运行后，提升自身权限，强行关闭某些安全软件，大大降低了被感染计算机上的安全性。不定时弹出广告窗口，影响用户的正常使用。广告窗口可能带有谎报系统漏洞的信息，欺骗用户购买指定的“修复软件”，而“修复软件”很可能是会破坏计算机系统的恶意程序。在被感染计算机系统的后台连接骇客指定站点，获取恶意程序的下载地址列表并下载所有的恶意程序。其中，所下载的恶意程序可能是窃取网络游戏帐户的木马、广告程序、后门等，给被感染计算机用户带来不同程度的损失。另外，“假钩子”变种km还会收集用户计算机的系统类型、用户名、浏览器类型等基本信息，并将收集到的有效信息发送到骇客指定的远程服务器上，给用户带来损失。

　　病毒名称：Trojan/PSW.Magania.chr
　　中 文 名：“玛格尼亚”变种chr
　　病毒长度：121626字节
　　病毒类型：木马
　　危险级别：★★
　　影响平台：Win 9X/ME/NT/2000/XP/2003
　　Trojan/PSW.Magania.chr“玛格尼亚”变种chr是“玛格尼亚”木马家族的最新成员之一，采用Delphi语言编写，并经过添加保护壳处理。“玛格尼亚”变种chr运行后，在“%SystemRoot%\help\”目录下释放“F3C74E3FA248.dll”组件。修改注册表，实现木马开机自动运行。采用HOOK技术和内存截取技术在被感染计算机的后台监视用户的键盘和鼠标操作，盗取《黄易群侠传》、《天堂Ⅱ》、《魔兽世界》等多款网络游戏玩家的游戏帐号、游戏密码、仓库密码、角色等级、游戏区服、计算机名称等信息，并在后台将玩家信息发送到骇客指定的远程服务器上，致使玩家的游戏帐号、装备物品、金钱等丢失，给游戏玩家带来非常大的损失。另外，“玛格尼亚”变种chr还会下载更多的恶意程序、网游木马等，给网络游戏玩家带来非常大的损失。

　　病毒名称：Trojan/PSW.Agent.fql
　　中 文 名：“代理木马”变种fql
　　病毒长度：20480字节
　　病毒类型：木马
　　危险级别：★★
　　影响平台：Win 9X/ME/NT/2000/XP/2003
　　Trojan/PSW.Agent.fql“代理木马”变种fql是“代理木马”木马家族的最新成员之一，采用高级语言编写，并经过加壳保护处理。“代理木马”变种fql运行后，在临时文件夹下释放恶意DLL组件文件“*.tmp”；在“%SystemRoot%\system32\”目录下释放恶意DLL组件文件“HBKrnl.dll”；在“%SystemRoot%\system32\drivers\”目录下释放恶意驱动文件“hbkernel.sys”；在“%SystemRoot%\”目录下创建一个更新信息配置记录文件“Update.dat”。修改注册表，实现木马开机自动运行。在被感染计算机的后台调用系统“rundll32.exe”进程，迫使该进程调用恶意DLL组件文件“HBKrnl.dll”来执行恶意操作，以隐藏自我，防止被查杀。将“hbkernel.sys”注册为系统服务，用于还原系统“SSDT HOOK”，从而使部分安全软件的保护功能失效，达到躲避某些安全软件的防御和查杀的目的。在被感染计算机系统的后台利用HOOK和内存截取等技术盗取网络游戏《梦幻西游》玩家的登陆帐号、登陆密码、仓库密码、角色等级、金钱数量、所在区服、计算机名称等信息，并在后台将玩家信息发送到骇客指定的远程服务器上，致使玩家的游戏帐号、装备物品、金钱等丢失，给游戏玩家带来非常大的损失。

　　病毒名称：Trojan/PSW.OnLineGames.tsh
　　中 文 名：“网游窃贼”变种tsh
　　病毒长度：12288字节
　　病毒类型：木马
　　危害等级：★
　　影响平台：Win 9X/ME/NT/2000/XP/2003
　　Trojan/PSW.OnLineGames.tsh“网游窃贼”变种tsh是“网游窃贼”木马家族的最新成员之一，采用VC++ 6.0编写，并经过加壳保护处理。“网游窃贼”变种tsh运行后，自我插入到被感染计算机的系统“explorer.exe”进程中加载运行，隐藏自我，防止被查杀。修改注册表，实现木马开机自动运行。在被感染计算机系统的后台利用HOOK技术和内存截取等技术盗取网络游戏《新破天一剑》玩家的登陆帐号、登陆密码、仓库密码、角色等级、金钱数量、所在区服、计算机名称等信息，并在后台将玩家信息发送到骇客指定的远程服务器上，致使《新破天一剑》游戏玩家的游戏帐号、装备物品、金钱等丢失，给游戏玩家带来不同程度的损失。
　　来源：江民

huangsunxin

不玩网游 , 不用网上银行 ,不用QQ !!!                  

宅侽

我这里就中病毒勒 叉叉的从新做的系统! 好像有病毒就是上边提到的WIN32病毒系列!
虽然说自己不玩网游勒但总觉有个病毒在自己机子里实在不爽! 况且又起到监视作用! 感觉给人偷窥一样... 哎还有自己买东西大部分靠的都是网银-.- 明天赶紧把网银钱取出来以后买多少存多少好了 哎...有网好 也不好!烦啊 做病毒的全家都死去脑子好不往好处用 真贱!!!

sam_lee45

最近被盗号的确实很多，闹心

ganr0508

现在的世道啊！！！！！！！！！！！！！！！！！

yali55

谢谢 提醒 以后得注意了

ljc1123520

谢谢提醒，多加注意

lihui197969

谢谢提醒

5111321982

谢谢版主提醒，永远支持兔友！！！

axzx7896

感谢楼主，我的还是安全的

qq123abcqq

被盗的了，不知是那个木马

yangjianj135

顶下       

yangjianj135

我们应该小心盗号猖獗