顾名思义,是一个盗号木马程序,专门盗取网络游戏玩家的游戏账号、游戏密码等信息资料。有很多变种,木马会通过安装消息钩子等方式来窃取网络游戏玩家的账号和密码等一些个人私密的游戏信息,并将窃取到的信息发送到恶意用户指定的远程服务器Web站点或指定邮箱中。最终导致网络游戏玩家无法正常运行游戏,蒙受到不同程度的经济损失。
病毒名称:Trojan/PSW.GamePass.bu
中文名:“网游大盗”变种
病毒长度:可变
病毒类型:木马
危害等级:★
影响平台:Win 9X/ME/NT/2000/XP/2003
描述:Trojan/PSW.GamePass.bu“网游大盗”变种是一个利用网络共享进行传播的木马程序。“网游大盗”变种运行后,在Windows目录下创建病毒副本和一个木马下载器。修改注册表,实现开机自启。将病毒文件注入到IEXPLORE.EXE或EXPLORER.EXE的进程中,隐藏自我,防止被查杀。连接指定站点,侦听黑客指令,下载并执行特定文件,终止某些与安全相关的服务,降低被感染计算机上的安全设置。遍历用户计算机的C到Y驱动器,搜索共享文件夹,一经发现便利用空用名和空密码打开共享文件夹,并自我复制到共享文件夹下,感染该文件夹下所有.exe文件,实现网络共享传播。
病毒名称:Backdoor/Agent.sq
中文名:“代理”变种sq
病毒长度:可变
病毒类型:后门
危害等级:★
影响平台:Win 9X/ME/NT/2000/XP/2003
描述:Backdoor/Agent.sq“代理”变种sq是一个从黑客指定站点下载其它病毒的后门。“代理”变种sq运行后,自我复制到系统目录下。侦听黑客指令,开启TCP25端口,连接黑客指定站点,下载其它病毒,并在被感染计算机上自动运行。
病毒运行后,在C盘program file以及windows目录下生成winlogon.exe等14个病毒文件,病毒文件之多比较少见,事实上这14个不同文件名的病毒文件系同一种文件,。病毒文件名被模拟成正常的系统工具名称,但是文件扩展名变成了.com。江民反病毒工程师分析,这是病毒利用了Windows操作系统执行.com文件的优先级比EXE文件高的特性,这样,当用户调用系统配置文件Msconfig.exe的时候,一般习惯上输入Msconfig,而这是执行的并不是微软的Msconfig.exe程序,而是病毒文件,病毒作者的“良苦用心”由此可见。病毒另一狡诈之处还有,病毒还创建一名为winlogon.exe的进程,并把winlogon.exe的路径指向c:windowswinlogon.exe,而正常的系统进程路径是C:WINDOWSsystem32winlogon.exe,以此达到迷惑用户的目的。
江民反病毒工程师介绍,除了在C盘下生成很多病毒文件外,病毒还修改注册表文件关联,每当用户点击html文件时,都会运行病毒。此外,病毒还在D盘下生成一个自动运行批处理文件,这样即使C盘目录下的病毒文件被清除,当用户打开D盘时,病毒仍然被激活运行。这也是许多用户反映病毒屡杀不绝的原因。
针对“网游大盗”病毒,江民杀毒软件KV系列产品已及时升级,用户只需升级病毒库到最新状态、开启病毒实时监控即可有效防杀该病毒,亦可使用江民未知病毒检测功能处理该病毒。没有安装杀毒软件的用户,也可以下载使用江民“落雪”木马专杀工具进行杀毒,以免遭“网游大盗”病毒侵害。
解决方案:1、请及时升级江民KV2006杀毒软件,开启BOOTSCAN功能及各项监控,防止冲击波、震荡波等恶性病毒攻击用户计算机。BOOTSCAN功能在Windows启动前能彻底清除以上恶性病毒,全面保护用户计算机。
2、江民KV网络版的用户请及时升级控制中心,并建议相关管理人员在适当时候进行全网查杀病毒,保证企业信息安全。
3、“江民密保”可有效保护网上银行、网络游戏、支付平台、网上证券交易等账号、密码,彻底斩断“网银大盗”、“证券大盗”、“传奇窃贼”、“天堂杀手”等专门盗号的木马黑手,全面保护用户机密信息。
4、在运行通过网络共享下载的软件程序之前,建议先进行病毒查杀,以免导致中毒。
5、设置网络共享帐号及密码时,尽量不要使用常见字符串,如guest、administrator等。密码最好超过八位,尽量复杂化。
6、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。