抓窃贼!偷了网游账号还敢跑
网络安全
病毒名称:Trojan/PSW.OnlineGames.gen 中文名称:网游窃贼 病毒类型:盗号木马 病毒目的:盗窃用户的网游账号 本期医生:AK
启动项中多出midimapzx.dll
几天前,朋友发给我一条“辣妹变成忍者神龟”的网址,我一时好奇就点进去看了,当时只觉得无聊没有发现什么不妥。不久我就发现杀毒软件被禁用了,更可怕的是我的网游账号被盗了。
郁闷!一时大意就让自己与盗号病毒来了个“亲密接触”。我用《电脑报》介绍的SREng软件查看了启动项目,在里面发现了一个我不认识的陌生文件“midimapzx.dll”。请问医生它是病毒文件吗?
潜入游戏进程盗号
我叫Trojan/PSW.OnlineGames.gen,是“网游窃贼”家族的最新成员,为了保护自己不被杀毒软件查杀,我的主人给我加了一个壳,穿上“马甲”的我厉害多了。杀毒软件?我不怕不怕啦!
这样装备过来后,我要偷偷进入用户的电脑就容易多了。一旦我进入用户电脑后,就立即在%SystemRoot%\System32\目录下释放“midimapzx.dll”木马DLL文件(图1),并将释放的DLL插入到所有进程中。
小提示:%SystemRoot%是系统中的一个变量,表示的是Windows系统启动文件夹位置。如Windows XP的默认安装位置是C:\Windows,Windows 2000的默认安装位置是C:\Winnt。如你的系统是安装在D盘,那就是D:\Windows或D:\Winnt。
我最关注的就是“elementclient.exe”进程(elementclient.exe通常为网络游戏的客户端程序,如《完美世界》、《武林外传》的客户端程序等等),只要有该进程在我就会隐藏其中。这样玩家一打开游戏程序进入游戏,我就会马上把游戏账号密码、角色等级、角色装备、背包装备、游戏区服、计算机名称等信息截取出来,发送到黑客指定的服务器站点上!
现在的病毒很喜欢跟随潮流,我也不例外,所以自行查找并强行关闭一些常用的杀毒软件和安全辅助工具的本事我也学过,对付它们那简直就是小菜一碟,不值一提。
删除病毒DLL文件
想要彻底消灭这些盗号木马还是比较容易的,前提是要掌握正确的方法,不然清除过程就会很繁琐。
第一步:重启电脑并进入到安全模式下,打开“我的电脑”,选择“工具→文件夹选项”,选择“查看”,取消“隐藏受保护的操作系统文件”前的对钩,并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”,然后点击“确定”即可(图2)。
第二步:下载Unlocker(下载地址:http://www.shudoo.com/bzsoft)并进行安装,点击“资源管理器”工具栏上的“文件夹”按钮,在左侧单击进入C:\Windows\System32\目录下,在midimapzx.dll文件上单击右键,选择Unlocker,在弹出的对话框中选择“删除”选项并按“确定”将病毒文件删除(图3)。
第三步:最后重新安装杀毒软件(例如金山毒霸,下载地址:http://www.duba.net/download/index.shtml)并升级病毒库到最新版本,再进行全面扫描和查杀,将病毒残留物彻底清除干净。