2010年06月25日【天龙八部游戏窃取器截取游戏账号信息】

以下是2010年6月25日的安天实验室在最新捕获的病毒样本中选取的病毒样本所做的日报内容 。有任何建议或意见请即时发送邮件：avengert@antiy.net，我们会尽快予以答复.
        ======================================================================================================
        安天实验室每日病毒预警

一、“灰鸽子变种”（Backdoor/Win32.Hupigon.cmtp）  威胁级别：★★★★
     该病毒为灰鸽子变种，病毒运行后复制自身到系统目录，重命名 ，并删除自身。创建服务，以服务的方式达到随机启动的目的。连接网络下载远程控制端IP地址，主动尝试上线。上线成功后，远程控制端能够对用户机器进行键盘记录，屏幕监控，摄像头抓图，文件操作，进程操作等远程控制。

二、“游戏窃取器”（Trojan/Win32.Win32.OnLineGames.bnjy[Stealer]）  威胁级别：★★★★
    该病毒文件为天龙八部游戏盗号木马，病毒运行后枚举屏幕上所有的顶层窗口，遍历进程查找TLBBDownload.bin进程，找到之后强行结束该进程，枚举注册表缓存信息键值下是否有"\Launch.bi"，如果找到该键值则将%Systme32%目录下的LPK.DLL文件拷贝一份到游戏目录下命名为woool.dll、gametl.dll，如果注册表找不到天龙八部游戏关键键值，则创建互斥体"ctlasdfgh"，遍历进程找到"avp.exe"、"RavMonD.exe"，找到后创建注册表服务衍生tl.dll到%TEMP%临时目录下，调用rundll32.exe加载衍生的病毒DLL文件，如果找到到以上2个安全软件进程，则衍生随机病毒名文件到临时目录下，并将文件属性设置为隐藏不可见，动态加载衍生的随机病毒DLL文件，调用病毒DLL文件的Hookon模块，试图将病毒DLL注入到所有进程中，设置消息钩子拦截鼠标键盘消息截取游戏账号信息，将截取到得游戏账号及密码以URL方式发送到作者指定的地址中。


安天反病毒工程师建议
        1.最好安装安天防线防范日益增多的病毒。用户在安装反病毒软件之后，应将病毒监控功能打开、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。
        2.安天反病毒应急中心及时进行了病毒库更新；如未安装安天防线，可以登录http://www.antiyfx.com免费下载最新版安天防线来防止病毒入侵。
        ======================================================================================================



中国安天实验室
通讯地址：哈尔滨898邮政信箱
邮政编码：150006
Welcome to visit Antiy Labs
中文站 ：http://www.antiy.com
English：http://www.antiy.net