补充:转一段对这个木马进行过分析的IT程序员的留言
木马会“会尝试将自身注入explorer.exe、iexplore.exe以及wow.exe进程”,那么危险就不言而喻,在玩游戏的时候,wow.exe在运行,而explorer.exe和iexplore.exe分别是windows的资源管理器和IE,按照这个说法,木马完全有可能检测到你打开了九城的主页,然后输入用户名/密码的过程,所以当你以为修改了密码后很安全而沾沾自喜时,黑手可能已经伸入了你的帐号,而这个过程,你根本就没有运行游戏,这也许是最可怕之处。
这就是为什么我上边提到不要通过同一台机器的网络媒介去让你的朋友帮你修改密码的原因所在
再后来查到金山毒霸网站上对这个木马的描述:
来源:金山毒霸病毒知识库
Win32.Troj.PswWow.a
病毒别名: 处理时间:2006-05-26 威胁级别:★
中文名称: 病毒类型:木马 影响系统:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒行为:
这是一个盗取魔兽游戏密码的木马病毒,病毒采用进程注入的方式运行,具有很
高的隐蔽性。
1. 该木马病毒本身是一个动态链接文件,不能自主运行,必须通过木马释放器进行加载。
2. 木马释放器(毒霸可查,Win32.Troj.PswWow.d.212480)将该木马释放并拷贝到系统盘根目录下。命名为main.dat,然后利用explorer.exe、iexplore.exe等系统进程进行加载,将木马拷贝到系统目录下,命名为KB896445.log并利用rundll32.exe将该木马建立为系统服务,在注册表中会留下以下键值:
[HKLM\SYSTEM\CurrentControlSet\Services\NetWorkLogon]
"Type"=dword:00000110
"Start"=dword:00000002
"ErrorControl"=dword:00000000
"ImagePath"="rundll32 KB896445.log,start"
"DisplayName"="Network Logon"
"ObjectName"="LocalSystem"
"Description"="支持网络上计算机远程登陆事件。如果此服务被停用,网络登陆将不可用。如果此服务被禁用,任何依赖它的服务将无法启动。"
3. 当病毒以系统服务形式运行时,会尝试将自身注入explorer.exe、iexplore.exe以及wow.exe进程。监视用户窗口,窃取游戏相关信息。
希望没有被感染的朋友及时到微软下载这个补丁,未雨绸缪 http://www.microsoft.com/china/technet/security/bulletin/MS06-040.mspx
虽然不能肯定该木马是否存在其它变种,而且目前没有太好的清除方法
但是我会在日后的资料收集中不断跟进更新,希望我做的一切能为大家良好的游戏环境做出些许贡献。
共2页: 上一页 [1] 2 下一页
