最近看到病毒线包装有个新变种的盗号病毒,针对的是一款游戏,而我就是玩这个游戏的,而且还是个RMB玩家,这要是被盗了那可就损失惨重,所以我特别关注,事不宜迟,赶紧来研究防范的办法。
一.了解病毒
因为我没有病毒样本,所以不能在本机测试,不过得知该病毒可限制的防火墙的工作“卡巴斯基:进程被终止;MAcfree:无反应;江民:检测模块会被终止。”并且木马成功运行后,首先找到system32目录下的kernel32.dll并试图删除该动态数据文件,然后在系统目录下释放tlbb.dll和killro.dll。检测到游戏客户端game.exe后,插入该进程,主要由tlbb.dll负责盗取玩家账号密码资料等。
二.分析对策
因为该病毒替换了系统中的一个文件,而要把它更换回来必须要用安装盘恢复,在家里倒是没什么大碍,可是天天在网吧上网的人难道?就甘心号被盗了吗?非也,有病毒的工作机理可知,关键在于病毒最后要插入bin\game.exe进程中,这就使人想到了改变game.exe的名字。我尝试了一下,提示不能直接运行游戏。而直接运行更新文件却找不到game.exe而无法启动游戏。这是预料之中的事,病毒制作的人又不傻,那么有技术含量的病毒怎能被“名字”搞定呢?但我却没有放弃改名克毒的这条思路,我决定制作一个假进程。
三.作战开始
首先我将bin\目录下的game.exe名字改为xiaoyy.exe,然后就该我们的明星出场了——winrar,不要怀疑,我们要用的就是它。在bin目录下新建一个文本文档(别的也行),右键点击文本文档“添加到压缩文件”选择“zip”格式,并勾选“创建自解压文件”。先别着急点确定,在高级选项中选择自解压选项解压路径——当前——解压后运行xiaoyy.exe,完成后确定,把文件名改成game.exe。使用时先改游戏bin下game.exe为xiaoyy.exe,并将自解压文件放到此目录下。这样不会因为文件名不是game.exe而提示错误,运行自解压文件后游戏客户端也运行了,但文件名却是xiaoyy.exe,病毒也就无法插入到客户端了。
四.总结
以后要多想想病毒的工作原理,网吧是个必须防毒的地方,记得以前有人说过,没有病毒的网吧不是好网吧!另外我也希望大家多多用rar,它有好多奥秘呢!