网络又新出DNF盗号木马

DNF盗号木马Trojan- PSW.Win32.OnLineGames.o此木马病毒是通过VC语言编写的游戏盗号类木马程序,由

瑞星杀毒软件主动捕获,它是采用UPX加壳方式,试图逃避杀毒软件的查杀,木马主要是通过文件捆绑、下

载器下载、网站挂马等方式感染计算机,其主要目的是盗取用户DNF游戏帐户密码等信息.

玩家计算机感染此木马后,会出现系统无故报错、DNF游戏帐户密码被盗、虚拟财产遭受损失等现象.

DNF盗号木马主要使用s2am.ime、dsound.dll、dbghelp.dll等扩展名.

如果您已安装瑞星杀毒软件并将病毒库升级到了最新版本,瑞星杀毒软件将报警提示您发现木马Trojan-

PSW.Win32.OnLineGames.o,请直接选择删除即可杀灭DNF盗号木马.

病毒分析:

(1) 读取自身资源,释放病毒文件%SystemRoot%\system32\1.tmp,并将其复制为%SystemRoot%\system32

\s2am.ime

(2)查找系统文件%SystemRoot%\system32\sfc_os.dll并将其复制为%SystemRoot%\system32 \sfcos.dll,

释放病毒文件%SystemRoot%\system32\dbgtemp,%SystemRoot%\system32 \dsoundtemp,%SystemDriver%

\del.bat

(3)运行批处理删除病毒源文件,并利用rundll32.exe加载运行%SystemRoot%\system32\s2am.ime

(4) 加载%SystemRoot%\system32\sfcos.dll去除windows文件保护系统,替换系统文件%SystemRoot%

\system32\dsound.dll, %SystemRoot%\system32\dbghelp.dll.

(5）%SystemRoot%\system32\dsound.dll, %SystemRoot%\system32\dbghelp.dll加载运行后判断自身是

否被qqlogin.exe或dnf.exe加载,如果是则安装钩子获取用户帐户密码信息,发送到指定地址.

手动清除DNF盗号木马的解决办法：

1.查找以下文件并删除:

%SystemRoot%\system32\s2am.ime

2.用正常的系统文件替换已感染的文件

%SystemRoot%\system32\dsound.dll

%SystemRoot%\system32\dbghelp.dll

看来我得赶紧把我的病毒库升级到最新版本了，这木马太可怕了。

随时随地要升级病毒库，这可大意不得哦，这是关乎自身安全的大事呢。

好怕哦，赶紧把病毒库升升级，不然帐号就不保了。

就是就是，不论任何时候，升级病毒库是首选，
这样才能保证杀软可以检查到最新病毒。

学习了，把杀毒软件升到新版本