专偷网游账号的“盗号记录器”
网络安全
病毒名称:Win32.Troj.OnlineGameT.uv.91648 中文名称:盗号记录器91648 病毒类型:盗号木马 威胁目的:盗窃用户的网游账号 本期医生:Elian
中了onlineGameT病毒
高考结束后,我就在家痛快地玩着网络游戏,但是几天前我突然发现电脑运行速度变慢,接着我的游戏账号就被盗了。虽然马上利用密保卡找了回来,但游戏装备全都没了!为了以后能放心玩游戏,我对电脑进行了检查,发现 “任务管理器”中出现了大量的未知进程。
此外,杀毒软件也无法使用了,我用安全辅助工具进行检测发现了win32 Troj.onlineGameT.uv.91648病毒,但是怎么都杀不掉。请问医生,这个病毒是怎么偷取我的游戏账号的呢,我又该如何查杀它?
我就是暑假网游盗号“先锋”
正好赶着暑假风,我“盗号记录器”也开始批量生产,并四处寻找下手目标,一般都是挑安全防护薄弱的电脑下手,将电脑中的网游账号搜刮至麾下,下面就给大家演示一下我的“盖世神功”。
首先,我进入系统后会在磁盘C:\Windows\System32目录下释放出olemdb32.dl_、olemdb32.dll、zyzxjime.dll三个文件,其中zyzxjime.dll是病毒主文件(图1)。
接下来,我会在注册表HKEY_ CLASSES_ROOT\CLSID\{AA59145F-3 15D-BC23-AC1F-145DF81A34AA}下创建子项,并在其中设置恶意信息,让病毒文件直接加载到启动项中,这样开机时我就可以自动运行了。
除了以上的这些“动作”,我还会悄悄地连接到指定的网址:http://d*3.t***kl.info,下载net.exe文件至本地计算机根目录下,在系统中创建键盘钩子来窃取电脑玩家的账号和密码。最后我还会搜索系统进程,对一些安全进程进行关闭操作,让杀毒软件“罢工”。
小知识:钩子是Windows系统中非常重要的系统接口,用它可以截获并处理送给其他应用程序的消息,完成普通应用程序难以实现的功能。钩子的种类很多,每种钩子可以截获并处理相应的消息,如键盘钩子可以截获键盘消息,外壳钩子可以截取、启动和关闭应用程序的消息等。
删除病毒文件及注册表项
小小的盗号器,居然也这么猖狂,看我斩断你的魔爪,还受害者一个“清”凉暑假。
第一步:重启电脑并进入到安全模式下,不要运行安装在系统分区外的任何软件,将系统管理工具SREng(下载地址:http://www.shudoo.com/bzsoft)改名后打开,单击“自动修复”按钮修复系统。(图2)
第二步:先在“工具”→“文件夹选项”→“查看”中,选择“显示隐藏文件”,然后点击“资源管理器”工具栏上的“文件夹”按钮,在左侧单击进入C:\Windows\System32\目录下,将olemdb32.dl_、olemdb32.dll、zyzxjime.dll三个文件删除。在手工删除时如果提示“此文件正在使用无法删除”,可使用删除工具Unlocker(下载地址:http://www.shudoo.com/bzsoft)来解除。
第三步:进入注册表,将HKCR\ CLSID\{AA59145F-315D-BC23-AC1F-145DF81A34AA}项及其中的病毒键值删除。最后升级电脑中所用的杀毒软件(例如金山毒霸,下载地址:http://www.duba.net/download/index.shtml)到最新病毒库并进行全面查杀,清除系统中剩余的病毒残留物。最后还要记住要在杀毒软件中开启访问保护(图3)。
