国内资深黑客详谈Trojan-PSW盗号木马

　　（2）网络游戏类

　　随着网络游戏近几年的飞速发展，其拥有的玩家也越来越多，游戏所制造的网上财富也日益增加，一时间，大量木马瞄准了这块风水宝地。因此也出现了大量针对于网络游戏的木马，像传奇盗号的木马已经成为一个家族——Trojan-PSW.Win32.Lmir，变种不计其数。通过获取玩家的游戏帐号和密码，木马所有者或将玩家人物角色卖出，或将玩家高级装备在游戏中出售，从而获取高额“利润”。通常他们都是在获得该装备后，迅速把装备转移到他在该区申请的游戏帐号上面，进行黑货转移，并迅速以现金进行交易，等游戏玩家申请完，整个交易已经早早的交易完毕，这同时也指出了网络法定关于虚拟财产方面的定罪的空白。

　　（3）网络通行证类

　　通常指一些论坛或者电子邮箱的登陆帐号和密码，窃取这些帐号后，能够获得其中的有价值资源，或者冒充被盗人进行一些非法活动。

　　（4）聊天工具类

　　诸如QQ、MSN等著名聊天工具，也是此类木马及木马作者垂涎的猎物，一个好的QQ号码能够在网上卖到很高的价钱，这其中的利益就是他们行窃的原动力。

　　（5）商业机密类

　　商业竞争激烈，如果能够获得对手的关键资料，那么就可能赢得一场艰难的商业战，而木马获取商业机密类信息所“赚”来的利润也是最高的。

　　（6）大型软件类

　　木马所有者可能会去针对某款正版软件的序列号或者某游戏的CD-KEY进行盗窃，将这些资源卖给那些想使用正版，但苦于不能注册的用户。

　　4.信息回收方式

　　当木马窃取到大量信息后，会在用户电脑产生记录，随后会通过几种常用的方式发送给木马的“主人”，我们称之为信息回收过程，下面就是几种木马常用的信息回送方式：

　　（1）HTTP服务器

　　木马所有者建立一个HTTP服务器，接受从木马程序反馈回的消息，通常木马程序使用get方式将消息发到服务器。

　　（2）FTP服务器

　　木马所有者通常会在一台电脑上搭建一个FTP服务器，并配上公网IP，然后在自己的木马程序中事先设定好，这个服务器地址。一旦木马获取到资料后，就主动连接此服务器，将资料上传，而无须人工操作。

　　（3）SMTP服务器

　　木马所有者会在木马程序中设置一段代码完成发送电子邮件功能，将记录信息以电子邮件的方式发送到病毒所有者的邮箱中，或直接将信息写为邮件正文，或作为附件进行发送。

　　（4）TFTP服务器

　　类似于FTP服务器，只不过类型不一样，此类服务器上传小文件，尤其像记录少量信息的文本文件，有一定的速度优势。

　　（5）IRC服务器

　　通过IRC服务器中的DCC命令也可以传送文件，木马所有者预先告诉木马当获得信息后连接到某个特定的IRC地址，并使用DCC命令将文件发送到所有者手上。

　　（6）后门功能

　　类似于后门程序，在感染该木马的电脑上开启一个端口，或者直接架设一个上面（1）、（2）、（3）中提到的服务器，等待用户自行下载木马文件。

　　三、典型Trojan-PSW木马分析

　　1.Trojan-PSW.Win32.Lmir.lq（传奇天使）

　　病毒标签：

　　病毒名称： Trojan-PSW.Win32.Lmir.lq

　　中文名称： 传奇天使

　　病毒类型： 木马

　　危害等级： 中

　　文件长度： 62,525 字节

　　感染系统： windows9x以上的所有版本

　　编写语言： Microsoft Visual C++

　　病毒描述：

　　传奇天使是专门盗取传奇账号的木马，感染后传奇天使后，该病毒会窃取传奇玩家的 区名称和ID名称，密码，及登陆服务器。感染该病毒后会在系统目录下生成病毒相关文件winker.exe或 winker.dll，搜索反病毒及安全软件的进程，找到后便将该进程中止，通过修改注册表，启动服务，并随系统同时启动。

　　行为分析：

　　1)修改注册表

　　HKEY_LOCAL_MACHINE\Software\Classes\exefile\shell\open\command

　　添加键值："默认"="%Windir%winker.exe"从而达到随系统启动的目的。

　　2)在系统目录下释放文件winker.exe或winker.dll。

　　3)关闭如下进程：天网防火墙个人版，金山网镖2003，瑞星杀毒软件。

　　4)修改注册表，调用kernerl32.dll的RegisterServiceProccess，从而注册为服务。

　　2.“网银大盗”

　　病毒名称：网银大盗Ⅱ

　　病毒类型：木马

　　病毒大小：16284字节

　　传播方式：网络

　　压缩方式：ASpack

　　该木马盗取几乎涵盖中国当时所有个人网上银行的帐号、密码、验证码等等，发送给病毒作者。此木马与4月份截获网银大盗有异曲同工之处，但涉及银行之多，范围之广是历来最大的，不但给染毒用户造成的损失更大、更直接，也给各网上银行造成更大的安全威胁和信任危机。