警惕：最新流行“大话西游3”盗号木马
时间:2009-04-19 14:41
来源:塞迪网
近日微点主动防御软件自动捕获了一个专盗大话西游的盗号木马“Trojan-PSW.Win32.OnLineGames.dgiv”，据微点反病毒反家介绍，用户中该木马后，会出现“大话西游3”游戏无故关闭、输入用户名、密码、密保时游戏运行缓慢的现象，最终将导致虚拟财产被黑客盗取。
该木马运行后，采用进程注入，加载动态库文件，***全局消息钩子，获取用户输入的“用户名”、“密码”以及“密保”等信息，并利用命令行实现自删除。成功盗取利用户输入的“用户名”、“密码”以及“密保”等信息后，该木马将利用网页收信方式，发送至黑客指定页面。
防范措施
已***使用微点主动防御软件的用户，无须任何设置，微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本，微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版，微点主动防御软件在发现该病毒后将报警提示您发现“未知木马”，请直接选择删除处理(如图1)；
图 1　微点主动防御软件自动捕获未知病毒(未升级)
如果您已经将微点主动防御软件升级到最新版本，微点将报警提示您发现"Trojan-PSW.Win32.OnLineGames.dgiv”，请直接选择删除(如图2)。
图 2　微点主动防御软件升级后截获已知病毒
对于未使用微点主动防御软件的用户，微点反病毒专家建议：
1、不要在不明站点下载非官方版本的软件进行***，避免病毒通过捆绑的方式进入您的系统。
2、尽快将您的杀毒软件特征库升级到最新版本进行查杀，并开启防火墙拦截网络异常访问，如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。
3、开启Windows自动更新，及时打好漏洞补丁。
未***微点主动防御软件的手动解决办法：
1、手动删除以下文件：
%SystemRoot%\Fonts\twsrcwed.dll
%SystemRoot%\Fonts\d091015.dat
2、手动删除以下注册表值：
键：HKEY_CLASSES_ROOT\CLSID\{DF12F8AB-9A00-469C-B9D4-425C1BE3E1E6}
键：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
值：{DF12F8AB-9A00-469C-B9D4-425C1BE3E1E6}
键：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
值：C:\WINDOWS\Fonts\twsrcwed.dll
数据：{DF12F8AB-9A00-469C-B9D4-425C1BE3E1E6}
变量声明：
%SystemDriver%　　　　　　　　　系统所在分区，通常为“C:\”
%SystemRoot%　　　　　　　　　　WINDODWS所在目录，通常为“C:\Windows”
%Documents and Settings%　　　　用户文档目录，通常为“C:\Documents and Settings”
%Temp%　　　　　　　　　　　　　临时文件夹，通常为“C:\Documents and Settings\当前用户名称
\Local Settings\Temp”
%ProgramFiles%　　　　　　　　　系统程序默认***目录，通常为：“C:\ProgramFiles”
顶一下(1)
踩一下(0)
上一篇：
下一篇：
最新图文
最新评论
发表评论
请自觉遵守互联网相关的政策法规，严禁发布***、暴力、反动的言论。
用户名:
验证码:
发表评论
推荐文章
相关文章
热门文章
热评文章
Copyright 2010
版权所有 沪ICP证08026629号» “一起黑客网”揭开盗号集团的内幕
“一起黑客网”揭开盗号集团的内幕
2009-03-12
CBSi中国·
类型: 转载
来源: duba.net
责编: 黄蔚
600元终身学习盗号教程
“磁碟机”、“灰鸽子”、“***终结者”……一个个横行互联网的病毒我们都不陌生，它们滋生于各类网络游戏和聊天软件之中，肆无忌惮地盗取各种网游账号、聊天账号，但谁是深藏在各类木马病毒背后的黑手，怎样迅速地挖掘、变现、收获巨额现金？近日，记者探访到一个公开兜售盗号教程的网站，经过层层调查揭开了这个庞大链条的冰山一角。
600元终身学习盗号教程
“批量盗各类网游帐号演示”、“制作钓鱼网站，每天收获上千QQ”、“600元终身学习盗号教程”……近日，一位对黑客技术一知半解的读者晓峰向记者介绍了“一起黑客网”（
），称无意中进入后一看是黑客技术培训网站，上面写着可以培训加密破解、编程破解、加壳解壳、制作木马、网页攻击、
跟踪技术等技术。
“一开始觉得这个培训很牛，学成之后是不是能防御各种盗号木马和网络攻击？”抱着学习防御知识的晓峰开始仔细研究这个网站，“但是很快就看到，‘制作钓鱼网站，每天收获上千QQ’、‘批量盗各类网游帐号演示’的教程说明，敢情这是个教你盗取别人号码的网站！”酷爱玩网络游戏的晓峰一直很痛恨各类“盗号工作者”。
接到晓峰的爆料后，记者进入了这个网站，并通过QQ联系上“一起黑客***”，以“QQ被盗了，申诉拿不回来，想自己盗了拿回来。”向***咨询，***表示这不是免费的，并声称除了QQ号码之外，还能拿到各类网游的账号，注册收费是300元一年，如果汇入600元就是贵宾，可以终身使用全部资源。当记者再次强调“600元的话，可以在网游中盗号吗？”***再次做出承诺，并向记者提供了户名孙继文的工商银行账号，嘱咐记者“钱到了就告诉我。我查帐后会把会员单子发到你邮箱。”对于记者的各种提问，***一直很谨慎表示工作很忙，直到记者表示要马上汇款，也只回复“希望您尽快吧，我要午休呢。”
记者随后，发现此网站没有备案；同时没有发现此网站没有工商营业执照。通过该网站公布的手机号码查询归属地，发现这是黑龙江哈尔滨市的中国移动号码。同时，在一个查域名的基本信息的网站中得出一些信息，发现注册信息是哈尔滨市宜兰县。
◆ 高速产业化的冰山一角
在百度输入“黑客培训”四个字，共有“2,860,000篇搜索结果”,前几十个几乎都是黑客培训网站，都详细的介绍了教学计划、收费标准、具体课程、课程效果，承诺：交款即可开课学习，所有课程全部包会。
“从技术本身讲，这些网站提供的教程是可以完成盗号行为的。但也有一些虚假的网站利用出售木马来诈骗，比如购买者汇款后，并非得到相应的承诺等，也就是所谓的‘黑吃黑’。”金山毒霸李铁军介绍。
“圈”内人士飞鸟说，这种兜售木马、下载器的网站只是整个黑色产业链条的一部分，属于“分销商”的角色，“并不属于病毒开发者，也不是挂马集团的成员，只是属于零售销售的，但是收入也很可观。”飞鸟说。“他们向挂马集团缴纳的入门费大约是一个盗号木马3000元左右，一方面他们将这些木马下载器迅速挂在网上直接盗号，另一方面他们会以招收学员的方式来再次获利。”
盗号团伙将盗号木马盗回的“信封’（一个信封即一个账户信息）以每封信1-3元的价格出售给小洗号作坊，或自已洗号直接盗取虚拟财产交易，这一环节中，参与人数众多，群体也杂乱。“但是这部分收入都很惊人，尤其是直接从事盗号的环节，除去支付一定的下载推广费用，在洗号后也能起码获得几十万以上的年收益。”
↑上一篇文章
↓下一篇文章
提示：试试键盘 “← →” 可以实现快速翻页
本文导航
第1页：600元终身学习盗号教程
【本文章已有
人讨论,
黑客网盗号相关文章
网友评论
PCHOME网友
在2009年03月12日 13:39说
PCHOME网友
在2009年03月12日 10:27说
未登录状态下将以匿名身份发表, 您尚未登录
病毒新闻最新文章
[08-02]
[08-02]
[07-28]
[07-28]
[07-27]
11-08-02
11-08-02
11-08-02
新酷睿智能选机宝典
核显本排行
最新项目
本推荐配置价格总计：
本推荐配置价格总计：
本推荐配置价格总计：
自从2011年初英特尔Sandy bridge处理器发布以来，“核显”...
即将上市
￥11000
即将上市
病毒新闻热门文章
病毒新闻本周推荐文章
作为墨者安全专家的忠实FANS，也趁此机会测试下墨者革...
宽带山热帖
上海市长宁区延安西路889号 太平洋企业中心22楼 Tel: 86-21-51757733
Copyright 1996-2011
.net All rights reserved.
上海网策广告有限公司版权所有| 您所在的位置：
国内资深黑客详谈Trojan-PSW盗号木马(3)
国内资深黑客详谈Trojan-PSW盗号木马(3)
2008-04-08 11:03
51CTO.com
近日在QQ上广泛传播地一段回答问题得到q币中奖消息中所包含的恶意链接，访问该链接将导致用户电脑感染多种木马程序，经过仔细分析这些木马几乎都归于一类——Trojan-PSW木马。
3.窃取信息的种类
前面提到Trojan-PSW木马的使用通常为了获取非法的经济利益，这些经济利益的来源就是木马做窃取到的重要信息资料，安天CERT整理近几年Trojan-PSW木马所涉及到的敏感信息资料：
（1）网络银行类
像工商银行、交通银行、商业银行、招商银行、农业银行、中国银行等指明国内银行的帐号密码以及信用卡等业务的相关资料。
国外的情况也类似，主要设计到集中信用卡的信息窃取，如Visa、MasterCard等。
（2）网络游戏类
随着网络游戏近几年的飞速发展，其拥有的玩家也越来越多，游戏所制造的网上财富也日益增加，一时间，大量木马瞄准了这块风水宝地。因此也出现了大量针对于网络游戏的木马，像传奇盗号的木马已经成为一个家族——Trojan-PSW.Win32.Lmir，变种不计其数。通过获取玩家的游戏帐号和密码，木马所有者或将玩家人物角色卖出，或将玩家高级装备在游戏中出售，从而获取高额“利润”。通常他们都是在获得该装备后，迅速把装备转移到他在该区申请的游戏帐号上面，进行黑货转移，并迅速以现金进行交易，等游戏玩家申请完，整个交易已经早早的交易完毕，这同时也指出了网络法定关于虚拟财产方面的定罪的空白。
（3）网络通行证类
通常指一些论坛或者电子邮箱的登陆帐号和密码，窃取这些帐号后，能够获得其中的有价值资源，或者冒充被盗人进行一些非法活动。
（4）聊天工具类
诸如QQ、MSN等著名聊天工具，也是此类木马及木马作者垂涎的猎物，一个好的QQ号码能够在网上卖到很高的价钱，这其中的利益就是他们行窃的原动力。
（5）商业机密类
商业竞争激烈，如果能够获得对手的关键资料，那么就可能赢得一场艰难的商业战，而木马获取商业机密类信息所“赚”来的利润也是最高的。
（6）大型软件类
木马所有者可能会去针对某款正版软件的序列号或者某游戏的CD-KEY进行盗窃，将这些资源卖给那些想使用正版，但苦于不能注册的用户。
4.信息回收方式
当木马窃取到大量信息后，会在用户电脑产生记录，随后会通过几种常用的方式发送给木马的“主人”，我们称之为信息回收过程，下面就是几种木马常用的信息回送方式：
（1）HTTP服务器
木马所有者建立一个HTTP服务器，接受从木马程序反馈回的消息，通常木马程序使用get方式将消息发到服务器。
（2）FTP服务器
木马所有者通常会在一台电脑上搭建一个FTP服务器，并配上公网IP，然后在自己的木马程序中事先设定好，这个服务器地址。一旦木马获取到资料后，就主动连接此服务器，将资料上传，而无须人工操作。
（3）SMTP服务器
木马所有者会在木马程序中设置一段代码完成发送电子邮件功能，将记录信息以电子邮件的方式发送到病毒所有者的邮箱中，或直接将信息写为邮件正文，或作为附件进行发送。
（4）TFTP服务器
类似于FTP服务器，只不过类型不一样，此类服务器上传小文件，尤其像记录少量信息的文本文件，有一定的速度优势。
（5）IRC服务器
通过IRC服务器中的DCC命令也可以传送文件，木马所有者预先告诉木马当获得信息后连接到某个特定的IRC地址，并使用DCC命令将文件发送到所有者手上。
（6）后门功能
类似于后门程序，在感染该木马的电脑上开启一个端口，或者直接架设一个上面（1）、（2）、（3）中提到的服务器，等待用户自行下载木马文件。
内容导航 第 1 页： 第 2 页： 第 3 页： 第 4 页： 第 5 页： 第 6 页：
分享到：
关于 的更多文章
9月12日晚上11时37分，百度在其百度空间发表声明，称遭受有史以
网友评论
提交评论
栏目热门
同期最新
频道导航
热点推荐
热门标签：
拒绝服务（简称DoS）——特别是分布式拒绝服务（简称DDoS）——攻击近来困扰着许多知名企业
文章排行
热点专题
网络和计算机安全问题已经成为政府、企业、与个人必须
计算机和互联网络世界里，身份认证是一个最基本的要素
【导读】如果有人问你IT基础知识，你懂得哪些？你也许
热点标签
全站热点
本书是全国计算机技术与软件专业技术资格（水平）考试的指定用书。按照新的网络工程师考试大纲的规定，本书包含了数据通信基础知
博文推荐
最新热帖
51CTO旗下网站