浆糊论坛-RO小站 » RO 1.5交流区（原RO交流区） » 金山毒霸反病毒应急中心7月1日病毒播报_46464_《仙境传说》的盗号木马

返回列表发帖

Rank: 1

UID: 367877
帖子: 4325
精华: 0
威望: 1
阅读权限: 100
注册时间: 2006-7-10

1^# 跳转到 » 倒序看帖

字体大小: tT

发表于 2008-7-10 18:49 | 只看该作者

[历史] 金山毒霸反病毒应急中心7月1日病毒播报_46464_《仙境传说》的盗号木马

病毒名称(中文):仙境传说盗号器122880病毒别名:威胁级别:★☆☆☆☆病毒类型:偷密码的木马病毒长度:122880影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行为:

该病毒是网络游戏《仙境传说》的盗号木马。病毒运行后会衍生病毒文件至系统目录下，还会修改注册表生成启动项。最后盗取的账号信息并发送到木马种植者的邮箱当中。

1.生成文件.
C:\WINDOWS\Help\3394C72B3DC4.dll
C:\WINDOWS\Help\3394C72B3DC4.exe

2.修改注册表生成启动项
HKEY_CLASSES_ROOT\CLSID\{BB7596E3-016E-4A4E-849C-FBFC8FE8E2A5}
HKEY_CLASSES_ROOT\CLSID\{BB7596E3-016E-4A4E-849C-FBFC8FE8E2A5} @ "SSUUDL"
HKEY_CLASSES_ROOT\CLSID\{BB7596E3-016E-4A4E-849C-FBFC8FE8E2A5}\InProcServer32
HKEY_CLASSES_ROOT\CLSID\{BB7596E3-016E-4A4E-849C-FBFC8FE8E2A5}\InProcServer32 @ "C:\WINDOWS\hELP\3394C72B3DC4.dll"
HKEY_CLASSES_ROOT\CLSID\{BB7596E3-016E-4A4E-849C-FBFC8FE8E2A5}\InProcServer32 ThreadingModel "Apartment"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks {BB7596E3-016E-4A4E-849C-FBFC8FE8E2A5} ""

3.病毒运行后会把dll文件注入到进程当中.

4.病毒运行后会删除病毒源文件.

5.病毒会把盗取得到的账号和密码发送到木马种植的邮箱当中.

顺便提及，该毒具有自我删除的功能，运行完毕后就会删除自己的原始文件，减少被用户发现的可能。

0

顶
踩

蹦哒的丸子

Rank: 1

UID: 487500
帖子: 1089
精华: 0
威望: 6
阅读权限: 100
性别: 女
注册时间: 2008-6-27

2^#

发表于 2008-7-10 18:52 | 只看该作者

摸下巴这就是最近那么多人被盗号的原因。。。么？

不如归去

Rank: 1

UID: 449017
帖子: 1835
精华: 0
威望: 220
阅读权限: 100
性别: 男
来自: 圣域-恶魔城
注册时间: 2007-9-17

3^#

发表于 2008-7-10 18:52 | 只看该作者

楼主跟那个中山的有什么仇?

UID: 235336
帖子: 10769
精华: 3
威望: 33
阅读权限: 101
性别: 男
注册时间: 2004-10-25

论坛元老

4^#

发表于 2008-7-10 18:53 | 只看该作者

7月1号?!..太晚了点吧.不过我倒是一直用的正版付费金山..每天更新的3次病毒库都没落下过.

Rank: 1

UID: 422451
帖子: 5030
精华: 0
威望: 23
阅读权限: 100
注册时间: 2007-5-2

5^#

发表于 2008-7-10 18:55 | 只看该作者

中的几率不大吧。

Rank: 1

UID: 367877
帖子: 4325
精华: 0
威望: 1
阅读权限: 100
注册时间: 2006-7-10

6^#

发表于 2008-7-10 18:56 | 只看该作者

vsita系统好象不怕这种病毒

遰著靈魂僈荹

Rank: 1

UID: 455798
帖子: 1048
精华: 0
威望: 19
阅读权限: 100
性别: 男
来自: 杭州
注册时间: 2007-10-13

7^#

发表于 2008-7-10 19:02 | 只看该作者

很难得啊

Rank: 1

UID: 471981
帖子: 2818
精华: 0
威望: 67
阅读权限: 100
性别: 男
来自: 雷伊加尔德帝国
注册时间: 2008-1-21

8^#

发表于 2008-7-10 19:27 | 只看该作者

不是吧
我用卡巴没查出来过
竟然还有RO的木马···

Rank: 1

UID: 431302
帖子: 9265
精华: 2
威望: 59
阅读权限: 100
性别: 男
来自: 地球
注册时间: 2007-7-4

9^#

发表于 2008-7-10 20:06 | 只看该作者

原帖由 黑米发糕 于 2008-7-10 07:27 PM 发表
不是吧
我用卡巴没查出来过
竟然还有RO的木马···

卡巴和360都没查出来

此签名出自bbs.rohome.net，其他一切未经许可的存在均为盗帖，甚至可能是www.woshidiaoyuwangzhan.com

┮你是我的眼┮

Rank: 1

UID: 444945
帖子: 1189
精华: 0
威望: 0
阅读权限: 100
性别: 男
来自: 缘分の天空_0_5
注册时间: 2007-9-3

10^#

发表于 2008-7-10 20:11 | 只看该作者

好象玩RO4年了还没被盗过号。。。

来吧来吧。。反正没值钱的东西了

Rank: 1

UID: 422451
帖子: 5030
精华: 0
威望: 23
阅读权限: 100
注册时间: 2007-5-2

11^#

发表于 2008-7-10 20:11 | 只看该作者

原帖由 liuhlightning 于 2008-7-10 20:06 发表

卡巴和360都没查出来

查出来就担心了

☆o○踟戀の童話◎●☆

Rank: 1

UID: 242739
帖子: 15710
精华: 0
威望: 22
阅读权限: 100
性别: 女
来自: ﹑Sнοω?ΤiΜе.?
注册时间: 2004-11-16

12^#

发表于 2008-7-10 20:19 | 只看该作者

我就是传说中的vista。。。

biao子与狗，天长地久;jian人shabi，如胶似漆.
很多人啊只有在疯狂的时候才能看到他最丑陋的一面……

迷糊的安安

UID: 196779
帖子: 13869
精华: 20
威望: 675
阅读权限: 150
性别: 女
来自: 我生存的故事的证明
注册时间: 2004-6-28

赞助商

13^#

发表于 2008-7-10 20:20 | 只看该作者

这个么……
自己手动创建下面两个文件(空内容)
C:\WINDOWS\Help\3394C72B3DC4.dll
C:\WINDOWS\Help\3394C72B3DC4.exe
然后再设置权限为只读……应该就免疫了吧 =。=

你能够得到幸福的因为努力克服过那么多苦难即使在被不安所击溃的孤单一人的夜里你也没有认输

Rank: 1

UID: 437638
帖子: 5389
精华: 0
威望: 1
阅读权限: 100
注册时间: 2007-8-4

14^#

发表于 2008-7-10 20:45 | 只看该作者

原帖由 迷糊的安安 于 2008-7-10 20:20 发表
这个么……
自己手动创建下面两个文件(空内容)
C:\WINDOWS\Help\3394C72B3DC4.dll
C:\WINDOWS\Help\3394C72B3DC4.exe
然后再设置权限为只读……应该就免疫了吧 =。=

3394C72B3DC4只是一个例子，它可以随机生成其他名字的文件

现在的人真是越来越懒，越来越蠢。。。
不想动手，不想动脑。。。
我开始怀疑人类是否在进化了。。。

UID: 235336
帖子: 10769
精华: 3
威望: 33
阅读权限: 101
性别: 男
注册时间: 2004-10-25

论坛元老

15^#

发表于 2008-7-10 20:59 | 只看该作者

原帖由 chunt 于 2008-7-10 20:11 发表

查出来就担心了

这病毒会自我删除,如果不是及时防住的,那么你想查也查不到.卡巴和360的病毒更新太慢了,所以可能会漏掉.虽然不是一定的.毕竟卡巴防御能力还是非常强大的.不过再强大的防毒软件都是有空子钻的,针对卡巴漏洞的病毒也不是没有的.所以用卡巴的也得小心.用其他杀毒的也也一样...