“HB网游盗号器122880”(Win32.Troj.OnlineGames.fd.122880),这是一个网游盗号木马。它属于HB木马家族的成员,该家族的特点是木马文件名开头两个字母都是HB。它自带一个驱动文件,具有一定程度的对抗能力。
“醉汉木马控制器270336”(Win32.Troj.Tibs.uu.270336),这是一个远程木马文件。它会在用户电脑里建立后门,等待黑客的入侵。该毒的执行过程不稳定,有可能会造成系统崩溃。
一、“HB网游盗号器122880”(Win32.Troj.OnlineGames.fd.122880)威胁级别:★
近来HB系列木马的数量一直居高不下,毒霸反病毒工程师认为这是病毒作者将病毒生成器开足马力批量生产的结果。HB系列木马都是针对网络游戏,其特点是主要的几个文件名都为HB开头,并且所有的成员都拥有一个名为HBKernel32.sys的驱动文件。
此变种和它别的变种一样,会首先利用HBKernel32.sys绕开系统和游戏程序的监视保护模块,然后释放子文件,将自己的盗号模块注入游戏进程中,搜寻玩家输入的帐号和密码信息。该变种的盗号模块名为HBYY.dll。
当文件释放完毕,该毒就修改注册表启动项,实现开机自启动。同时,它会搜索注册表中是否有360安全卫士,以判断用户是否安装得有该安全软件。如有,就尝试破坏其正常运行,给自己的盗号行为扫清障碍。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅http://vi.duba.net/virus/win32-troj-onlinegames-fd-122880-52424.html
二、“醉汉木马控制器270336”(Win32.Troj.Tibs.uu.270336)威胁级别:★
这个远程木马的类型现在不太常见,它是利用修改注册表的系统设置项“AppInit_DLLs”下的值的办法来加载自己的DLL文件,以实现开机自启动。
这种启动方式对DLL文件的稳定要求较高,而在目前发现的一些变种中,该毒的DLL文件不稳定,这就造成一些用户的电脑中了该毒后,会发生蓝屏崩溃。
如果能顺利运行起来,该毒就会开启一些敏感端口,建立后门,连接病毒作者指定的远程黑客服务器,等待黑客入侵。
就目前所观察的的情况,该毒主要是利用一些下载器来进行传播。毒霸反病毒工程师建议用户用金山系统清理专家等安全辅助工具打齐系统补丁,防范近来猖獗的各种漏洞下载器。
| 
