2007年网游界现首位流行病毒大盗登场

扩展阅读

网游大盗(2007年) 是例专门盗取网络游戏帐号和密码的病毒， 其变种wm是典型品种。英文名为Trojan/PSW.GamePass.jws的"网游大盗”变种jws是“网游大盗"木马家族最新变种之一，采用VisualC+ +编写，并经过加壳处理。“网游大盗” 变种jws运行后，会将自我复制到Windows目录下，自我注册为"Windows Down"系统服务，实现开机自启。

该病毒会盗取包括“魔兽世界”、"完美世界" 、“征途” 、等多款网游玩家的帐户和密码，并且会下载其它病毒到本地运行。玩家计算机旦中毒，就可能导致游戏帐号、装备等丢失。在07年轰动一时，网游玩家提心吊胆。

病毒运行后，在C盘program file以及windows目录下生成winlogon.exe等14个病毒文件，病毒文件之多比较少见，事实上这14个不同文件名的病毒文件系同一种文件，。病毒文件名被模拟成正常的系统工具名称，但是文件扩展名变成了 .com。江民反病毒工程师分析，这是病毒利用了Windows操作系统执行.com文件的优先级比EXE文件高的特性，这样，当用户调用系统配置文件Msconfig.exe的时候，一般习惯上输入 Msconfig，而这是执行的并不是微软的Msconfig.exe程序，而是病毒文件 ，病毒作者的“良苦用心”由此可见。病毒另一狡诈之处还有，病毒还创建一名为winlogon.exe的进程，并把 winlogon.exe 的路径指向c:\windows\winlogon.exe，而正常的系统进程路径是C:\WINDOWS\system32\ winlogon.exe，以此达到迷惑用户的目的。

江民反病毒工程师介绍，除了在C盘下生成很多病毒文件外，病毒还修改注册表文件关联，每当用户点击html文件时，都会运行病毒。此外，病毒还在D盘下生成一个自动运行批处理文件，这样即使C盘目录下的病毒文件被清除，当用户打开D盘时，病毒仍然被激活运行。这也是许多用户反映病毒屡杀不绝的原因。

扩展阅读：

1999年春天，一个名叫David L. Smith的人制造了一种基于微软Word宏的计算机病毒。他制造了这种病毒，以便它可以通过电子邮件传播。Smith将这种病毒命名为“Melissa”，据说他是以佛罗里达州的一位异国舞者命名的。

他将Melissa Computer Virus变成了摇钱树，诱使收件人打开一份带有一条电子邮件信息的文档，比如“这是您要的文档，不要给其他任何人看。”一旦被激活，病毒就会自我复制，并将自己发送给收件人电子邮件地址簿中排名前50的人。

Smith将病毒传播到世界各地后，病毒迅速传播开来，美国联邦政府对史密斯的所作所为非常感兴趣——根据联邦调查局官员向国会发表的声明，Melissa Computer Virus“对政府和私营部门的网络造成了严重破坏,约8000万美元的损失”。电子邮件流量的增加迫使一些公司在病毒被控制之前停止电子邮件程序。

David L. Smith遭到起诉，经过漫长的审判过程后，Smith败诉，被判处20个月监禁。法院还对Smith处以5000美元的罚款，并禁止他在未经法院授权的情况下访问计算机网络。虽然，梅丽莎病毒没有使互联网瘫痪，但它是最早引起公众注意的计算机病毒之一。

扩展阅读

灰鸽子是国内一款著名后门。比起前辈冰河、黑洞来，灰鸽子可以说是国内后门的集大成者。其丰富而强大的功能、灵活多变的操作、良好的隐藏性使其他后门都相形见绌。客户端简易便捷的操作使刚入门的初学者都能充当黑客。当使用在合法情况下时，灰鸽子是一款优秀的远程控制软件。但如果拿它做一些非法的事，灰鸽子就成了很强大的黑客工具。这就好比火药，用在不同的场合，给人类带来不同的影响。对灰鸽子完整的介绍也许只有灰鸽子作者本人能够说清楚，在此我们只能进行简要介绍。

“灰鸽子”是2001年出现的，采用Delphi编写，黑客利用客户端程序配置出服务端程序。最早并未以成品方式发布，更多的是以技术研究的姿态，采用了源码共享的方式出现在互联网，至今仍可搜索到“灰鸽子”早期版本的源码。

可配置的信息主要包括上线类型（如等待连接还是主动连接）、主动连接时使用的公网IP（域名）、连接密码、使用的端口、启动项名称、服务名称，进程隐藏方式，使用的壳，代理，图标等等。

“灰鸽子”在出现的时候使用了当时讨论最多的“反弹端口”连接方式，用以躲避大多数个人网络防火墙的拦截。“灰鸽子”在当时的名气不及“冰河”，因此只出现了少量的感染，但其开放源码的方式也让“灰鸽子”逐渐增大了传播量。灰鸽子出现后以源码开放，所以出现多种不同的版本，由于服务端都以隐藏方式启动，就奠定了其恶意后门木马的地位。

扩展阅读

Sasser蠕虫是一种计算机蠕虫，主要针对运行Microsoft操作系统（如Windows XP和Windows 2000）的计算机。Sasser蠕虫通过利用易受攻击的网络端口进行传输。可以很容易地从一台计算机传播到另一台计算机，而无需用户干预。由于该蠕虫在传播过程中会发起大量的扫描，因此对个人用户使用和网络运行都会造成很大的冲击。

震荡波（Sasser）于2004年4月30日爆发，短短的时间内就给全球造成了数千万美元的损失，也让所有人记住了04年的4月，该病毒为I-Worm/Sasser.a的第三方改造版本。与该病毒以前的版本相同，也是通过微软的最新LSASS漏洞进行传播，我们及时提醒广大用户及时下载微软的补丁程序来预防该病毒的侵害。如果在纯DOS环境下执行病毒文件，会显示出谴责美国大兵的英文语句。

Sasser感染的系统包括Windows 2000、Windows Server 2003和Windows XP，病毒运行后会巧妙的将自身复制为%WinDir%napatch.exe，随机在网络上搜索机器，向远程计算机的445端口发送包含后门程序的非法数据，远程计算机如果存在MS04-011漏洞，将会自动运行后门程序，打开后门端口9996。

这种蠕虫之所以被称为Sasser，是因为它利用受感染操作系统上称为LSASS(LocalSecurityAuthority Subsystem Service)的组件中的缓冲区溢出进行传播。蠕虫扫描不同范围的IP地址，并连接到受害者的计算机，主要通过TCP端口445。

微软对该病毒的分析表明，它也可能通过端口139传播。几个名为Sasser.B、Sasser.c和Sasser.D的变体在几天内就出现了(最初的名称是Sasser.A)。LSASS漏洞是Microsoft在发布蠕虫之前，在2004年4月分期付款的每月安全包中修补的。

Sasser蠕虫感染计算机的一个标志是其硬盘上存在文件C：WIN.LOG或C：win2.LOG，以及由于蠕虫中使用的错误编码而导致屏幕上出现LSASS.EXE的随机崩溃。蠕虫最常见的症状是由于蠕虫崩溃LSASS.exe而出现的关闭计时器。

Sasser蠕虫病毒是由一位名叫svenjaschan的德国计算机科学学生写的。蠕虫病毒最早是在一个名为localsecurity authority subsystem service（LSASS）的进程中利用缓冲区溢出进行攻击时被发现的，该进程在系统上强制执行安全策略。它具有迅速扩展到许多计算机的能力。在很短的时间内，Sasser-a、Sasser-B和Sasser-C被发现影响了全球数百台计算机。