123
返回列表 发帖
rolongc

Rank: 1

UID
367877 
帖子
4325 
精华
威望
1  
阅读权限
100 
注册时间
2006-7-10 
1# 跳转到 » 正序看帖
打印
tT
发表于 2008-7-10 18:49 | 只看该作者

[历史] 金山毒霸反病毒应急中心7月1日病毒播报_46464_《仙境传说》的盗号木马

病毒名称(中文):仙境传说盗号器122880病毒别名:威胁级别:★☆☆☆☆病毒类型:偷密码的木马病毒长度:122880影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行为:

该病毒是网络游戏《仙境传说》的盗号木马。病毒运行后会衍生病毒文件至系统目录下,还会修改注册表生成启动项。最后盗取的账号信息并发送到木马种植者的邮箱当中。

1.生成文件.
C:\WINDOWS\Help\3394C72B3DC4.dll
C:\WINDOWS\Help\3394C72B3DC4.exe

2.修改注册表生成启动项
HKEY_CLASSES_ROOT\CLSID\{BB7596E3-016E-4A4E-849C-FBFC8FE8E2A5}
HKEY_CLASSES_ROOT\CLSID\{BB7596E3-016E-4A4E-849C-FBFC8FE8E2A5} @ "SSUUDL"
HKEY_CLASSES_ROOT\CLSID\{BB7596E3-016E-4A4E-849C-FBFC8FE8E2A5}\InProcServer32
HKEY_CLASSES_ROOT\CLSID\{BB7596E3-016E-4A4E-849C-FBFC8FE8E2A5}\InProcServer32 @ "C:\WINDOWS\hELP\3394C72B3DC4.dll"
HKEY_CLASSES_ROOT\CLSID\{BB7596E3-016E-4A4E-849C-FBFC8FE8E2A5}\InProcServer32 ThreadingModel "Apartment"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks {BB7596E3-016E-4A4E-849C-FBFC8FE8E2A5} ""

3.病毒运行后会把dll文件注入到进程当中.

4.病毒运行后会删除病毒源文件.

5.病毒会把盗取得到的账号和密码发送到木马种植的邮箱当中.

顺便提及,该毒具有自我删除的功能,运行完毕后就会删除自己的原始文件,减少被用户发现的可能。


收藏 分享

路西法家的猫

Rank: 1

UID
476941 
帖子
1918 
精华
威望
43  
阅读权限
100 
性别
男 
注册时间
2008-3-3 
45#
发表于 2008-7-12 09:37 | 只看该作者
为啥我看到这帖子会无条件联想到当年那个GM的小号...

TOP

水水910910

Rank: 1

UID
344263 
帖子
2298 
精华
威望
40  
阅读权限
100 
来自
积分某酱油工会*-* 
注册时间
2006-3-25 

赞助商
44#
发表于 2008-7-12 00:49 | 只看该作者
原帖由 kaican 于 2008-7-11 14:25 发表
只要你去了解下杀软公司为什么这么快就知道病毒的存在....你就明白了- -



难道公司的员工每天都要疯狂搜索H网站以求找到新病毒?

2个月后就没人喂你喽~

TOP

和平

Rank: 1

UID
284158 
帖子
3191 
精华
威望
16  
阅读权限
100 
来自
广Sara·焚天 
注册时间
2005-5-7 
43#
发表于 2008-7-11 17:13 | 只看该作者
关注

TOP

celavie

Rank: 1

UID
417734 
帖子
278 
精华
威望
3  
阅读权限
100 
注册时间
2007-3-30 
42#
发表于 2008-7-11 17:07 | 只看该作者
说明RO还没有过气

TOP

艾草

Rank: 1

UID
180000 
帖子
1080 
精华
威望
4  
阅读权限
100 
性别
女 
来自
いちご いちえ 
注册时间
2004-6-5 
41#
发表于 2008-7-11 16:32 | 只看该作者
RO也有木马了,很欣慰
「但愿能认得出你的子女  临别亦听得到你讲再见」

TOP

gameboy72

Rank: 1

UID
471422 
帖子
331 
精华
威望
91  
阅读权限
100 
性别
男 
来自
安徽 
注册时间
2008-1-17 
40#
发表于 2008-7-11 16:28 | 只看该作者
网吧的自动还原能有效果么?

TOP

椰子

Rank: 1

UID
328397 
帖子
1132 
精华
威望
100  
阅读权限
100 
性别
男 
注册时间
2006-1-17 
39#
发表于 2008-7-11 14:40 | 只看该作者
威胁级别:★☆☆☆☆

TOP

kaican

Rank: 1

UID
424849 
帖子
2263 
精华
威望
10  
阅读权限
100 
注册时间
2007-5-22 
38#
发表于 2008-7-11 14:25 | 只看该作者
只要你去了解下杀软公司为什么这么快就知道病毒的存在....你就明白了- -

TOP

浣熊家

Rank: 1

UID
437638 
帖子
5389 
精华
威望
1  
阅读权限
100 
注册时间
2007-8-4 
37#
发表于 2008-7-11 14:18 | 只看该作者
原帖由 陌.寞 于 2008-7-11 13:06 发表
吓人,我用正版卡巴的。。。这个病毒通过什么传播阿,总有个方式吧,不可能只上RO也能被传染吧=。=


网页、邮件、QQ/MSN,以及很多管理糟糕的网吧

装好防火墙,保持每日更新,不接收陌生人发来的文件,即使是好友发来的文件也先认真检查,尽量不要在公众电脑上使用账号密码
现在的人真是越来越懒,越来越蠢。。。
不想动手,不想动脑。。。
我开始怀疑人类是否在进化了。。。

TOP

saite6

Rank: 1

UID
475980 
帖子
664 
精华
威望
139  
阅读权限
100 
性别
男 
来自
人工生命体研究所3楼 
注册时间
2008-2-23 
36#
发表于 2008-7-11 14:15 | 只看该作者
不怕 我下线后装备扔仓库的 嘿嘿... 里昂你个笨蛋.. 你不是说不玩了吗!
I am the bone of my sword
Steel is my body,and fire is my blood.
have created over a thousand blades.
Unknown to Death.
Nor known to Life.
Have withstood pain to create many weapans.
Yet,those hands will never hold anything.

So as I pray unlimited blade works.

TOP

陌.寞

Rank: 1

UID
484506 
帖子
374 
精华
威望
0  
阅读权限
100 
性别
女 
来自
幻想精靈︶ㄣ我們Dē天下 
注册时间
2008-5-28 
35#
发表于 2008-7-11 13:06 | 只看该作者
吓人,我用正版卡巴的。。。这个病毒通过什么传播阿,总有个方式吧,不可能只上RO也能被传染吧=。=
┎汐нυаи俩个へτωο┒

TOP

kaican

Rank: 1

UID
424849 
帖子
2263 
精华
威望
10  
阅读权限
100 
注册时间
2007-5-22 
34#
发表于 2008-7-11 13:03 | 只看该作者
用冰刃看看进程钩子服务什么的...一般能看出点蛛丝马迹来的- -

TOP

.lemon.

Rank: 1

UID
231571 
帖子
12783 
精华
威望
97  
阅读权限
100 
来自
Ragnarok 
注册时间
2004-10-15 
33#
发表于 2008-7-11 13:01 | 只看该作者
原帖由 diablocwb5 于 2008-7-10 22:31 发表
我是进程党 每天检查


sb..这年头都线程插入,你看进程能看出个鸟.

这个木马就是.
其实时间总是那么快

TOP

rolongc

Rank: 1

UID
367877 
帖子
4325 
精华
威望
1  
阅读权限
100 
注册时间
2006-7-10 
32#
发表于 2008-7-11 12:50 | 只看该作者
不排除是一个RO狂热份子 很有黑客潜质

TOP

123
返回列表