其他不偷只偷《梦幻西游》账号
网络安全
病毒名称:Win32.PSWTroj.OnLineGames.126976
中文名称:梦幻西游盗号器
病毒类型:盗号病毒
病毒目的:窃取梦幻西游账号
本期医生:天涯衰草
10月13日 星期一 多云
最近新出的盗号病毒数量一直较多,我在安全诊所处理此类生病的电脑忙了个四脚朝天,到了晚上6:00准备下班了,一台生病的电脑冲进办公室。
“医生,快帮帮我,我中毒了!”
“别急,坐下来,慢慢说。”
“今天中午,我主人登录《梦幻西游》,系统老是不停地说登录密码有错误。主人非常郁闷,他用了账号保护工具的,可为什么账号还是会被盗?”
“中了盗号病毒了。发现问题后,你主人杀毒没有?”
“杀了,病毒倒是找到了,但就是无法成功清除。”
从内存直接窃取密码
我初步判断该电脑中了极其厉害的盗号病毒,连杀毒软件都无法清除。于是,马上送生病的电脑去放射科、化验科等做了全面的检测后,40分钟后我拿到了病情分析报告,原来是新出的梦幻西游盗号器病毒。
会诊报告1:病毒运行后会在系统system32目录中释放HBmhly.dll、Explore.exe和Update.dat三个病毒文件。从病毒命名中的拼音缩写,就可以看出它是针对《梦幻西游》的,而窃取魔兽世界的文件名称为HBWOW.dll。另外,病毒还会在系统的Drivers目录中释放一个名为HBKernel32.sys的驱动文件。该驱动文件既可以保护病毒不被清除,又可以破坏杀毒软件的监控功能。
会诊报告2:病毒文件system.exe会在注册表中添加一个启动项用于病毒的随机运行。同时还会加载驱动文件,来恢复系统的SSDT表,从而让杀毒软件失效,保护病毒的Explore.exe文件不被删除。修改注册表的Windows AppInit_DLLs项目,将DLL文件插入到系统进程中。
会诊报告3:病毒不是通过记录键盘输入,而是采用拦截内存数据的方法,来获取网络游戏的账号密码。所以常见的账号保护工具,就无法通过拦截键盘钩子,来阻止病毒对账号密码的窃取。
会诊报告4:病毒在线程插入后会判断当前运行的进程是不是网游进程。如果不是的话就停止工作,如果是的话就会针对具体的游戏,来拦截指定位置的内存数据,然后将这些数据格式化成统一的数据格式,发送到病毒作者指定的网络地址。病毒作者为此创建了一个强大的数据库,用于收集和处理盗取到的网游账号密码。
终结梦幻西游盗号器
知道病毒的底细,就好办了,我很快就找到了清除方法:
第一步:运行《金山清理专家》(下载地址:http://www.shudoo.com/bzsoft),打开百宝箱中的“进程管理器”。可以在列表里面清楚看到一个标注为“病毒”的进程信息。选中这个病毒进程后,点击“结束选中进程”按钮,就可以结束这个病毒进程(图1)。
第二步:点击窗口中的“文件粉碎器”按钮,接着点击窗口中的“添加文件”按钮。然后在系统的system32目录里面,分别选择HBmhly.dll、Explore.exe和Update.dat三个病毒文件,最后点击“彻底粉碎”按钮即可(图2)。
第三步:点击“恶意软件查杀”中的“恶意软件”,这时清理专家会对系统进行自动扫描,扫描完成以后可以看到HBmhly_Troj、Explore、HBKrnl_Troj等几项,点击“清除选定项”按钮即可(图3)。
最后重新安装杀毒软件(例如金山毒霸,下载地址:http://www.duba.net/download/index.shtml)并升级病毒库到最新版本,再进行全盘查杀,将病毒残留物彻底清除干净。