网络正值多事之秋,今天网银失窃,明天游戏帐号被盗,这一切的一切发生都跟木马有着很大关联。病毒并不可怕,可怕的是木马之心,一匹好马能让整个计算机处于危险之地,使得安全毫无机密可言。很多恶意用户利用马的特性获得巨大利益,但也因此走入了一条黑暗之路。
Trojan-PSW.Win32.Mifeng.w(Kaspersky)
该木马在网络中较为新奇,利用社会工程学盗取游戏帐号密码。中马后的用户,在玩网络游戏时会突然出现自动断开游戏链接,当用户重新登录游戏时,密码将通过后台发送,瞬间形成帐号失窃,可谓防不胜防。
| 毒名称: Trojan-PSW.Win32.Mifeng.w(Kaspersky) |
| 病毒别名: Trojan.PSW.Win32.Agent.vbo(瑞星) |
| Win32.Hack.Unknown.81920(毒霸) |
| 病毒大小: 16,433 字节 |
| 加壳方式: FSG |
| 传播方式: 通过恶意网页、其它木马下载等途径传播 |
剖解分析
当木马程序运行后,首先会在被感染的计算机中修改系统时间,造成其内所安装的杀毒软件因为期限问题而失效,并随后复制自身到系统目录下(%Windows%\),生成WinSrvGunVrs.EXE和WinSrv32.EXE文件。随后木马将添加修改注册表[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSrvGunVrs]健值将WinSrvGunVrs注册为系统服务,其可执行的路径为%Windows%\WinSrvGunVrs.EXE。上述完成后,程序会使用批处理shell.bat删除原文件,批处理文件如下:
:try
del "{原文件}"
if exist "{原文件}" goto try
del %0
从而达到WinSrvGunVrs.EXE调用WinSrv32.EXE后,自身退出进程的目的。运行后的 WinSrvGunVrs.EXE程序将遍历系统中正在运行的进程,尝试查找sun.exeE和sungame.exe,如果发现则将其程序强行结束,等待玩家重新登录游戏,则开始盗取其网游的帐号和密码,盗取后的信息将通过加密方式利用邮件和网页收信空间发送到木马安装人手中。
防护要点鉴于目前有很多木马或病毒程序会自动修改系统时间,让杀毒软件过了有效期而无法对系统进行有效保护,这里有必要防止系统时间被修改。可使用软件360安全卫士系统时间防改工具,下载地址为http://img2.pconline.com.cn/pconline/0706/28/1045712_360TimeProt.exe,软件安装好只需轻轻一点,即可做到时间不被修改,避免了杀毒软件因日期错误而无法启动的问题,(图一)
清除方法
在改回系统时间后可以启动杀毒软件升级病毒库进行清除,也可以利用手工和第三方软件进行清除,方法如下:
一、手工清除步骤
1、首先打开开始运行菜单,在其中输入regedit调出注册表,查找其中的 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSrvGunVrs],将其值删除并重新启动计算机。
2、在系统录下找到木马程序文件WinSrv32.exe及WinSrvGunVrs.exe将其删除即可。
二、软件清除步骤(微点主动防御)
该软件具有创新动态仿真反病毒专家系统可对对病毒行为规律进行分析、归纳、总结,实现自动判定新病毒,监控可视化显示信息包括程序运行、程序生成、网络信息、攻击日志等,可以同时分析各种程序行为。发现新病毒后,能自行阻止病毒行为并终止其运行,自动提取特征值有效阻止同一个病毒的再次感染,最后将修复注册表实现多重防护。
首先进入http://www.crsky.com/soft/9232.html页面下载该软件,进行安装(图二),
安装完升级完成后需重启计算机,软件则自行启动,当遇到木马、病毒、入侵等信息时,统计将根据用户设定的协议自动进行提示信息或相关处理。这里软件自动发现了其木马程序,并成功阻制该程序运行,进行询问是否要删除木马程序(图三),
选择删除确定后,木马将被清除出系统。(注:相了解此程序更多详情的用户可自行下载软件试用即知,这里不在一一简述)。
束语:木马严重危胁网民财产安全的今天,其游戏帐号被盗情况以是屡见不鲜,各网游公司也成天是忙于处理此事,那到底如何才能防止呢?其实在网络安全的天空,只能凭借用户的警惕之心再加上各式安全工具相辅,利用搜索引擎查找最新的技术手段并予以实施,才是上道。
