“梦幻之盗”查找“梦幻西游”进程盗取账号

"梦幻之盗"(Win32.PSWTroj.OnlineGames.14848)这是一个木马病毒，主要盗取"梦幻西游"的账号和密码。

"广告下载器"(Win32.Adware.Navi.394615)这是一个广告类病毒。

一、"梦幻之盗"(Win32.PSWTroj.OnlineGames.14848) 威胁级别：★

该病毒主要作用是盗取"梦幻西游"的账号信息。

1.病毒生成的 "LYMANGR.dll" 文件会枚举客户计算机上的进程，查找网络游戏"梦幻西游"的进程my.exe 。再枚举该进程的模块，如没有发现另一个文件 MSDEG32.dll 则通过写内存的方式把该病毒文件注入到 my.exe 里。

2.在客户计算机上创建了socket并绑定到 "2*2.1*9.2*4.1*3"。

3.指定的接收网址：

hxxp://www.5151la.com/mh2007/post2007kj.asp/?
server=xx&gameid=xx&pass=xx&pin=xx&wupin=xx&role=xx&equ=现金:xx 存银:xx&other=Build:xx
hxxp://www.raceswd.com/cs03/post.asp/?
server=xx&gameid=xx&pass=xx&pin=xx&wupin=xx&role=xx&equ=现金:xx 存银:xx&other=Build:xx

二、"广告下载器"(Win32.Adware.Navi.394615) 威胁级别：★

病毒运行后会释放文件到系统文件夹，并生成注册表项，BHO浏览器，根据sqlite的搜索结果在后台弹广告，影响用户正常上网。另外，该病毒使用sqlite来管理和更新自身数据库文件。

1.修改win.ini文件，插入以下内容

[svrhost]
vercheck=1188957373
sqlcheck=1188957373
install=1188957373

2.使用sqlite来管理和更新自身数据库文件

hxxp://bar6.old5.com

3.BHO浏览器，根据sqlite的搜索结果在后台弹广告，影响用户正常上网

hxxp://www.100x10000.com/xxxx.html
hxxp://baidu.3628.com
hxxp://www.xc100.com

金山反病毒工程师建议

1.最好安装专业的杀毒软件进行全面监控。建议用户安装反病毒软件防止日益增多的病毒，用户在安装反病毒软件之后，应该经常进行升级、将一些主要监控经常打开（如邮件监控）、内存监控等，遇到问题要上报， 这样才能真正保障计算机的安全。

2.玩网络游戏、利用QQ聊天的用户会有所增多，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，及时升级杀毒软件，开启防火墙以及实时监控等功能，切断病毒传播的途径，不给病毒以可乘之机。

最新相关文章

• ·焦点间谍修改注册表 篡改IE浏览器默认设置
• ·系统伤口下载器制造后门并下病毒
• ·“ARP蜗牛”攻击堵塞局域网
• ·360安全卫士疑被挂马 多款杀毒软件报警
• ·赤水牛开后门并破坏可执行程序
• ·“风花雪月”制造后门并传播情书
• ·360声明千千静听存在安全漏洞
• ·视窗杀手感染exe文件并无法启动
• ·安全保护有新规 窃QQ号最高罚一万五
• ·打PowerPoint漏洞补丁 防ppt蛀虫病毒
• ·4月1日病毒播报:小心“虫尾巴”蠕虫病毒
• ·黑客大会Vista被攻破的漏洞源自Flash插件
• ·“AUTO木马”群体作案危害更甚
• ·卡巴遭最惨破解 黑客一次送40多激活码
• ·循环瘫痪下载器关闭杀软和防火墙
• ·假保安诈骗木马下载伪杀软来诈骗