劫持者下载器劫持杀软并下载木马－病毒快报－eNet网络学院

首页 \| 新闻资讯 \| 软件应用 \| 图形图像 \| 网络应用 \| 硬件学堂 \| 程序开发 \| 安全中心 \| 素材下载 \| 作者专区 \| 学院论坛
精选专题 \| 精美壁纸 \| 专家答疑 \| Flash剧场 \| Photoshop \| 名词解释 \| 梦幻桌面 \| PS高手进阶 \| QQ区 \| 图书 \| 黑客教材

Flash教程\| 卡通制作 \| AutoCAD \| 3DMax实例 \| PS视频教程\| 网页制作 \| CorelDRAW\| Firework \| 滤镜与实例 \|	全部视频教程

当前位置：eNet硅谷动力 > 学院频道 > 病毒快报

劫持者下载器劫持杀软并下载木马

2008-03-20 09:53 来源：金山软件

【简介】
“网游盗号木马152312”（Win32.PSWTroj.OnlineGames.lo.152312），该病毒是《跑跑卡丁车》、《剑侠世界2》、《劲舞团》、《完美世界》等多款网络游戏的盗号木马。病毒运行后会衍生文件至系统目录下，并修改注册表生成启动项.通过注入进程，设置消息监视，截获用户的账号资料并发送到木马种植者的手上。

加入收藏　

设为首页

　　3月20日：“网游盗号木马152312”（Win32.PSWTroj.OnlineGames.lo.152312），该病毒是《跑跑卡丁车》、《剑侠世界2》、《劲舞团》、《完美世界》等多款网络游戏的盗号木马。病毒运行后会衍生文件至系统目录下，并修改注册表生成启动项.通过注入进程，设置消息监视，截获用户的账号资料并发送到木马种植者的手上。

　　“劫持者下载器139378”（Win32.TrojDownloader.Agent.bl.139378），该病毒为一个木马下载器。病毒运行后复制自身到系统目录，修改注册表、添加启动项，以达到随机启动的目的。它会破坏杀毒软件和安全辅助工具的正常运行，还会使中毒用户无法进入安全模式下查杀病毒。病毒发作后期，它会下载其它木马，盗取用户电脑上的敏感资料。

　　一、“网游盗号木马152312”（Win32.PSWTroj.OnlineGames.lo.152312）威胁级别：★

　　一个贼好不容易进到别人家里，他要是只偷一样东西，肯定觉得亏。盗号木马也一样，在毒霸病毒分析师近来处理的盗号木马中，只针对某一游戏的木马，所占比例明显减小，取而代之的是可盗取多款游戏帐号的木马。

　　比如昨日分析的这个盗号木马，它可同时盗取《跑跑卡丁车》、《剑侠世界2》、《劲舞团》、《完美世界》等多款网游的帐号。该病毒进入用户的电脑后，在系统盘%Program Files%\Common Files\Microsoft Shared\MSInfo\目录下释放出SysInfo1.dll、SysInfo1.dll2、wyls.exe这三个病毒文件，并修改注册表数据，将它们写入启动项，实现开机自启动。

　　病毒运行后的行为并不复杂，它通过启动之前生成的病毒主文件 wyls.exe ，将 SysInfo1.dll 注入到系统桌面进程 Explorer.exe 当中，搜寻网络游戏《跑跑卡丁车》、《剑侠世界2》、《劲舞团》、《完美世界》的进程，然后建立消息监视，从用户与游戏服务器的通信消息中筛选出用户的账号和密码等信息，并在后台悄悄建立远程连接，把赃物以网页提交的方式发送到木马种植者手中，给用户造成虚拟财产的损失。

　　应该说现在大部分的安全软件，哪怕只是个简单的安全辅助软件，都具备处理盗号木马的能力，但毕竟木马变种层出不穷，躲避和对抗安全软件的能力也不断加强，因此大家仍需提高警惕，比如不要下载未经官方认证的外挂插件、不要轻信要求你提供帐号密码的网游抽奖活动等。

　　关于该病毒的详细分析报告，可在金山病毒大百科中查阅：http://vi.duba.net/virus/win32-pswtroj-onlinegames-lo-152312-50476.html

　　二、“劫持者下载器139378”（Win32.TrojDownloader.Agent.bl.139378）威胁级别：★★

　　可对抗安全软件和用户的病毒始终没逃脱毒霸病毒分析师的视线。在昨日分析的病毒中，毒霸再次发现了这类病毒的身影。

　　该病毒实际上是一个木马下载器。它通过修改系统注册表，实现随系统启动而启动，以便一劳永逸地运行下去。为防止用户发现自己电脑中出现多余的文件，它会顺便改篡改注册表中的相关数值，将隐藏文件的显示模式改为不可见，再把自己的病毒文件设置隐藏模式。同时，它还会破坏 Windows 系统的更新服务，防止系统升级后具备对付它的能力。

　　遇到系统异常，你也许会想到运行计算机上的“帮助与支持中心服务”功能吧，很遗憾，它已经被病毒破坏了。而如果你试图手动查杀病毒，会发现系统的网络地址转换、寻址、名称解析、和入侵保护服务，以及监视系统安全设置和配置服务已经被病毒设为禁用，甚至连安全模式也被破坏——病毒不会给你任何查杀它的机会。

　　也许一些用户会问：我安装的安全软件是干什么吃的！？原来，病毒在进入电脑的瞬间，就已经利用“ IFEO 重定向劫持技术”抢先下手，劫持了你的安全软件。被劫持的安全软件不但无法正常工作，而且当你运行它们时，只会再次激活病毒。由于病毒的黑名单非常庞大，几乎所有目前市场上已有的的杀毒软件和安全辅助软件都会“中招”。

　　完成以上步骤后，病毒便连接木马种植者指定的多个远程地址，下载木马程序到用户电脑上运行。这些木马程序主要是盗取用户电脑中的敏感信息，这里面包括你在任何密码输入窗口中输入的数据，以及看上去像是帐号的字符。

　　同时，病毒搜索包括U盘等移动存储设备在内的所有磁盘分区，在它们的根目录下释放出AUTO病毒文件“autorun.inf ”和对应可执行病毒文件“.exe”。只要你双击含毒磁盘，病毒就能再次运行起来，重新搜索所有磁盘分区进行感染，从而不断扩大自己的传播范围。

　　金山反病毒工程师建议

　　1.最好安装专业的杀毒软件进行全面监控，防范日益增多的病毒。用户在安装反病毒软件之后，应将一些主要监控经常打开（如邮件监控、内存监控等）、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。

　　2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，及时升级杀毒软件，开启防火墙以及实时监控等功能，切断病毒传播的途径，不给病毒以可乘之机。