网上惊现网游大盗狂窃热门网游账号

2007-10-26 09:22:55 神评论

10月25日消息，360安全中心发布：360安全中心近期的木马病毒监测及网友举报的统计，发现“qhbpri木马”(又名：OnLineGames)在接连几周的木马排行上占据前几位。危害性及传播性非常突出，希望引起广大用户注意，及时查杀清理该木马病毒。

据了解，这是一款游戏盗号类的木马病毒。主要针对游戏账号以及游戏账号中的虚拟财产，利用老版本的暴风影音、百度搜霸、迅雷，PPStream 等一些常用软件的漏洞进行挂马到用户机器上。由于这些软件基本都是网民必备的软件之一，所以通过其漏洞感染的电脑数量不在少数。

其危害性大广主要表现在“qhbpri 木马”变种极多, 其盗取的游戏目标横扫现有的热门游戏，比如征途，热血江湖、天堂、华夏、传奇、天龙八部、梦幻西游、完美世界等等。网上流行比较广的变种之一主要是针对QQ华夏。

Qbhpri木马在本机运行后释放一个dll到系统目录下，并删掉系统文件 verclsid.exe, 躲避系统文件变化的验证。然后写入注册表的 AppInit_DLLS，实现自启动, 并且安装多种消息钩子，实现注入其他进程的立即生效。

注入后的木马会频繁查找游戏窗口，当发现自己在游戏进程中，直接patch 目标游戏进程中处理用户登录的代码段(现在这种方法是最毒辣的, 因为部分游戏的重要信息总有一段时间完整存放在内存中，而且有些还是明文)。被patch的代码主要分为登录和交易(登录主要时截获登录密码和用户名，交易主要是篡改用户虚拟财产转让人)，取出用户的登录名和密码，然后其利用 asp 链接，提交给木马服务器达到窃取的目的.

360安全专家提醒广大用户，要及时更新暴风影音、迅雷，PPStream等软件的最新版本，堵住漏洞源头；并下载Qhbpri木马专杀(下载地址：dl.360safe.com/killer_qhbpri.exe)及时清理系统。避免游戏账号、虚拟财产被盗，保障安全。

【重点木马播报】

木马名称：Trojan-PSW/Win32.OnLineGames.fjw及其他变种

木马类型：盗号木马

受害群：689万

木马名称：Trojan/Win32.Popwin

木马类型：广告木马

受害群：150万

木马名称：Trojan-Downloader/Win32.Agent.ebq

木马类型：木马下载器

受害群：105万

木马名称：Trojan/Win32.Autorun.vg