浆糊论坛-RO小站 - Powered by Discuz! Board

标题: [历史] 金山毒霸反病毒应急中心7月1日病毒播报_46464_《仙境传说》的盗号木马 [打印本页]

作者: rolongc 时间: 2008-7-10 18:49 标题: 金山毒霸反病毒应急中心7月1日病毒播报_46464_《仙境传说》的盗号木马

病毒名称(中文):仙境传说盗号器122880病毒别名:威胁级别:★☆☆☆☆病毒类型:偷密码的木马病毒长度:122880影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行为:

该病毒是网络游戏《仙境传说》的盗号木马。病毒运行后会衍生病毒文件至系统目录下，还会修改注册表生成启动项。最后盗取的账号信息并发送到木马种植者的邮箱当中。

1.生成文件.
C:\WINDOWS\Help\3394C72B3DC4.dll
C:\WINDOWS\Help\3394C72B3DC4.exe

2.修改注册表生成启动项
HKEY_CLASSES_ROOT\CLSID\{BB7596E3-016E-4A4E-849C-FBFC8FE8E2A5}
HKEY_CLASSES_ROOT\CLSID\{BB7596E3-016E-4A4E-849C-FBFC8FE8E2A5} @ "SSUUDL"
HKEY_CLASSES_ROOT\CLSID\{BB7596E3-016E-4A4E-849C-FBFC8FE8E2A5}\InProcServer32
HKEY_CLASSES_ROOT\CLSID\{BB7596E3-016E-4A4E-849C-FBFC8FE8E2A5}\InProcServer32 @ "C:\WINDOWS\hELP\3394C72B3DC4.dll"
HKEY_CLASSES_ROOT\CLSID\{BB7596E3-016E-4A4E-849C-FBFC8FE8E2A5}\InProcServer32 ThreadingModel "Apartment"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks {BB7596E3-016E-4A4E-849C-FBFC8FE8E2A5} ""

3.病毒运行后会把dll文件注入到进程当中.

4.病毒运行后会删除病毒源文件.

5.病毒会把盗取得到的账号和密码发送到木马种植的邮箱当中.

顺便提及，该毒具有自我删除的功能，运行完毕后就会删除自己的原始文件，减少被用户发现的可能。

作者: 蹦哒的丸子 时间: 2008-7-10 18:52

摸下巴这就是最近那么多人被盗号的原因。。。么？

作者: 2v261 时间: 2008-7-10 18:52

楼主跟那个中山的有什么仇?

作者: matthewii 时间: 2008-7-10 18:53

7月1号?!..太晚了点吧.不过我倒是一直用的正版付费金山..每天更新的3次病毒库都没落下过.

作者: chunt 时间: 2008-7-10 18:55

中的几率不大吧。

作者: rolongc 时间: 2008-7-10 18:56

vsita系统好象不怕这种病毒

作者: 遰著靈魂僈荹 时间: 2008-7-10 19:02

很难得啊

作者: 黑米发糕 时间: 2008-7-10 19:27

不是吧
我用卡巴没查出来过
竟然还有RO的木马···

作者: liuhlightning 时间: 2008-7-10 20:06

原帖由 黑米发糕 于 2008-7-10 07:27 PM 发表
不是吧
我用卡巴没查出来过
竟然还有RO的木马···

卡巴和360都没查出来

作者: ┮你是我的眼┮ 时间: 2008-7-10 20:11

好象玩RO4年了还没被盗过号。。。

来吧来吧。。反正没值钱的东西了

作者: chunt 时间: 2008-7-10 20:11

原帖由 liuhlightning 于 2008-7-10 20:06 发表

卡巴和360都没查出来

查出来就担心了

作者: ☆o○踟戀の童話◎●☆ 时间: 2008-7-10 20:19

我就是传说中的vista。。。

作者: 迷糊的安安 时间: 2008-7-10 20:20

这个么……
自己手动创建下面两个文件(空内容)
C:\WINDOWS\Help\3394C72B3DC4.dll
C:\WINDOWS\Help\3394C72B3DC4.exe
然后再设置权限为只读……应该就免疫了吧 =。=

作者: 浣熊家 时间: 2008-7-10 20:45

原帖由 迷糊的安安 于 2008-7-10 20:20 发表
这个么……
自己手动创建下面两个文件(空内容)
C:\WINDOWS\Help\3394C72B3DC4.dll
C:\WINDOWS\Help\3394C72B3DC4.exe
然后再设置权限为只读……应该就免疫了吧 =。=

3394C72B3DC4只是一个例子，它可以随机生成其他名字的文件

作者: matthewii 时间: 2008-7-10 20:59

原帖由 chunt 于 2008-7-10 20:11 发表

查出来就担心了

这病毒会自我删除,如果不是及时防住的,那么你想查也查不到.卡巴和360的病毒更新太慢了,所以可能会漏掉.虽然不是一定的.毕竟卡巴防御能力还是非常强大的.不过再强大的防毒软件都是有空子钻的,针对卡巴漏洞的病毒也不是没有的.所以用卡巴的也得小心.用其他杀毒的也也一样...

作者: GundamMKIV 时间: 2008-7-10 21:06

这年头盗RO还有意思么....

作者: 巨炮 时间: 2008-7-10 21:12

比较好奇..RO都快到尽头了..忽然出来个木马盗号用的..

真不知道制造这木马的人怎么想的...

作者: pk亂了髪型 时间: 2008-7-10 21:13

小心为好

作者: 24950058 时间: 2008-7-10 21:33

楼主的签名 OH NO

[ 本帖最后由 24950058 于 2008-7-10 22:09 编辑 ]

作者: 暮雪可月 时间: 2008-7-10 21:54

顺便提及，该毒具有自我删除的功能，运行完毕后就会删除自己的原始文件，减少被用户发现的可能。

作者: rohome123 时间: 2008-7-10 22:02

LZ的签名难道是自己弄的???
能教教我吗

作者: 还没想好名字 时间: 2008-7-10 22:07

百度搜索
签名显IP
一堆的

作者: rohome123 时间: 2008-7-10 22:09

。。。那幅图里以给出答案

作者: 还没想好名字 时间: 2008-7-10 22:12

你想表达什么?

作者: 无限透明de蓝 时间: 2008-7-10 22:15

启动注册表保护的人漂过- -
来吧- -

作者: rolongc 时间: 2008-7-10 22:26

[url=http://ip.ipwind.cn][img]http://ip.ipwind.cn/msn.png[/img][/url]

复制代码

;
;

把

复制代码

中间的部分复制到你的签名里就能让所有看到你的签名的人看到签名是显示出他自己的IP 地址天气操作系统等信息

作者: diablocwb5 时间: 2008-7-10 22:31

我是进程党每天检查

作者: -_-||| 时间: 2008-7-10 22:40

我说你们很奇怪饿....为什么觉得卡巴360查不到很奇怪?你根本没中毒还查个P啊

作者: liuhlightning 时间: 2008-7-10 22:42

原帖由 ||| 于 2008-7-10 10:40 PM 发表
我说你们很奇怪饿....为什么觉得卡巴360查不到很奇怪?你根本没中毒还查个P啊

查不到有两种可能，1没中毒2真的没查到

作者: kvld 时间: 2008-7-10 22:44

这说明RO还是很有前途的~病毒看得上RO是RO得福气~~~

作者: 本·拉登 时间: 2008-7-11 01:08

玩的人多了木马当然会出现。

作者: rolongc 时间: 2008-7-11 12:50

不排除是一个RO狂热份子很有黑客潜质

作者: .lemon. 时间: 2008-7-11 13:01

原帖由 diablocwb5 于 2008-7-10 22:31 发表
我是进程党每天检查

sb..这年头都线程插入,你看进程能看出个鸟.

这个木马就是.

作者: kaican 时间: 2008-7-11 13:03

用冰刃看看进程钩子服务什么的...一般能看出点蛛丝马迹来的- -

作者: 陌.寞 时间: 2008-7-11 13:06

吓人，我用正版卡巴的。。。这个病毒通过什么传播阿，总有个方式吧，不可能只上RO也能被传染吧＝。＝

作者: saite6 时间: 2008-7-11 14:15

不怕我下线后装备扔仓库的嘿嘿... 里昂你个笨蛋.. 你不是说不玩了吗!

作者: 浣熊家 时间: 2008-7-11 14:18

原帖由 陌.寞 于 2008-7-11 13:06 发表
吓人，我用正版卡巴的。。。这个病毒通过什么传播阿，总有个方式吧，不可能只上RO也能被传染吧＝。＝

网页、邮件、QQ/MSN，以及很多管理糟糕的网吧

装好防火墙，保持每日更新，不接收陌生人发来的文件，即使是好友发来的文件也先认真检查，尽量不要在公众电脑上使用账号密码

作者: kaican 时间: 2008-7-11 14:25

只要你去了解下杀软公司为什么这么快就知道病毒的存在....你就明白了- -

作者: 椰子 时间: 2008-7-11 14:40

威胁级别:★☆☆☆☆

作者: gameboy72 时间: 2008-7-11 16:28

网吧的自动还原能有效果么？

作者: 艾草 时间: 2008-7-11 16:32

RO也有木马了,很欣慰

作者: celavie 时间: 2008-7-11 17:07

说明RO还没有过气

作者: 和平 时间: 2008-7-11 17:13

关注

作者: 水水910910 时间: 2008-7-12 00:49

原帖由 kaican 于 2008-7-11 14:25 发表
只要你去了解下杀软公司为什么这么快就知道病毒的存在....你就明白了- -

难道公司的员工每天都要疯狂搜索H网站以求找到新病毒?

作者: 路西法家的猫 时间: 2008-7-12 09:37

为啥我看到这帖子会无条件联想到当年那个GM的小号...

欢迎光临浆糊论坛-RO小站 (http://bbs.rohome.cn/)