时间:2010-08-14 | 栏目:安全播报 | 点击:次
本周总体病毒状况继续保持相对平稳的状况,未出现严重的病毒及网络安全事件。受端午小长假的影响,一周总的捕获样本数量较前一周有所下降。
一周的常见病毒种类主要以网游盗号类/信息盗窃类木马程序(win32/gamepass家族、Win32/wowpa家族)、downloader变体(Win32/silly家族)、QQ盗号类木马为主,新出现的变体数量也程下降趋势。由于近期没有出现较易利用的新漏洞,因此近期黑客主要利用的漏洞相关的病毒变化不大,较常见的都是比较老的系统漏洞:
JS.CVE-2008-0015exploit - Microsoft Video ActiveX 漏洞(本周比较突出)
JS.CVE-2009-1136exploit - Microsoft Office Web 组件控件中漏洞
JS/CVE-2010-0249!exploit - IE极光漏洞利用脚本
JS.MSDirectShowexploit - 利用Directshow 漏洞;
一周关注病毒:
病毒名称:Win32.Gamepass Family 网游盗号木马家族
病毒别称:Troj/KbdSpy (Sophos), TROJ_KEYSPY (Trend), PWS-OnlineGames (McAfee)
病毒属性:特洛伊木马
危害性:中等危害
病毒特性:
Win32/Gamepass Family病毒变体很多,在2008年至今一直是较为常见的木马病毒。这个家族的变体繁多,变化很快,流传面积也较广泛。它们都是针对网络角色扮演类游戏制作的盗号类木马。此家族的病毒文件大多使用以下外壳打包自身:UPX, UPack, FSG 和 NSAnti。
这个病毒主要针对如下网络游戏(从游戏的流行程度看,这个家族病毒主要针对国内和亚洲地区):
AskTao 《问道》
Nexia the Kingdom of the Wind
MapleStory 冒险岛
Dungeon & Fighter 地下城与勇士
Fantasy Journey Online
The Warlords 军阀
World of Warcraft 魔兽
Perfect World
Yulgang (Scions of Fate)
Legend of Mir II
Lineage II
根据不断跟踪,此类盗号木马估计是由专门进行网络游戏盗号的团体进行制作/维护。主要通过盗取网络游戏玩家的游戏装备牟利。本周捕获大约5种变体,请广大游戏玩家注意及时升级自己的反病毒特征库。
感染方式:
这个家族的大部分变体通过网页挂马方式传播,部分通过其他木马下载器传播。当病毒文件被感染者执行后,将搜索系统中对应的游戏窗口,对用户的帐号、游戏配置等信息进行记录转发。
危害:
此病毒被执行后会监视现有系统进程名称和打开的窗口名称,检查是否有以上针对的游戏程序正在运行中。它还会在系统中安装一些通用挂接dll库,用以对键盘/鼠标的输入截取。当用户登录游戏后,关键的帐户信息会被记录下来。
除此之外,病毒还会记录下被感染系统的一些其他情况,例如:系统ip地址、游戏服务器的名称、游戏中的任务角色或者等级、游戏的地图细节等。
最后,Gamepass 将这些收集的信息保存到自己的日志文件中,然后发送给远程的攻击者,而且有些变体会通过邮件或者web post的方式发送到攻击者的网站。