盗号记录器通过鼠标键盘输入专盗网游账号

安全在先报道 "盗号记录器91648"(Win32.Troj.OnlineGameT.uv.91648),这是一个盗号木马程序。它的主要目标是各类网络游戏的账号信息,但也能盗取其它看上去像是账号信息的数据。该毒具有一定的对抗能力,会关闭一些常见的安全软件。

"木马下载器5756"(Win32.Parite.b.5756),这是一个木马下载器。它会关闭用户系统中的安全软件,并劫持大量的可执行文件,然后从网上下载其它木马到中毒电脑中运行。

、"盗号记录器91648"(Win32.Troj.OnlineGameT.uv.91648) 威胁级别:★

这个病毒最近出现较多变种,且作案频率上升较快。

该毒进入系统后,会在系统盘%WINDOWS%SYSTEM32目录下释放出病毒文件olemdb32.dl_、olemdb32.dll、zyzxjime.dll。其中zyzxjime.dll其实是病毒主文件,它稍后就会被写入系统注册表启动项,帮助整个病毒实现开机自启动。

病毒文件一被释放出来,就遍历全部磁盘,搜索电脑是否安装有常见的安全软件,如有则将它们关闭。接着便建立全盘监视,记录用户通过鼠标、键盘输入的各种看上去像账号和密码的数据。

接着,病毒悄悄连接作者指定的远程地址http://d*3.t***kl.info/,上传记录到的信息。同时下载其它病毒文件。

该病毒变种增加速度极快,很明显,病毒作者使用了批量生成工具。

二、"木马下载器5756"(Win32.Parite.b.5756) 威胁级别:★

病毒进入用户电脑,就将自己的文件bya0999.tmp释放到%WINDOWS%TEMP文件夹中。并修改系统注册表启动项,让自己能够在开机时自动运行起来。

当跑起来后,病毒会将自己注入到系统桌面进程Explorer.exe中,实现隐蔽运行。同时,它按照病毒作者配置的黑名单在用户电脑中枚举和关闭目前流行的安全软件。它还会映像劫持系统中的一些exe可执行文件。

当解决掉"保安",病毒就在后台悄悄连接http://h*ha.y***ao09.com 和h*ha.y**u02.com等多个由病毒作者指定的地址,下载多份病毒列表,根据其中的地址去下载更多的其它木马文件到用户电脑中执行,引起更多无法估计的破坏。

此外,病毒还会建立键盘和鼠标监视,记录用户在电脑中输入的信息,在下载木马的同时,把这些信息也发送给病毒作者。

金山反病毒工程师建议

1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。

2.由于玩网络游戏、利用QQ等即时聊天工具交流的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,如不要登录不良网站、不要进行非法下载等,切断病毒传播的途径,不给病毒以可乘之机。