请注意新木马盗号问题
这个木马隐蔽度很高,采用的手段也很新颖,目前我们对他进行了逆向工程, 大致搞清楚它的一些原理 首先这个木马有3个文件分别是 LOOPPAPK.dat gamset.dat LPK.dll这个LOOPARK.dat 和 gameset.dat 其实就是dll 被改了后缀名, gameset.dat 是盗号的核心文件,LPK.dll 是个加载器,操作系统会默认加载系统目录下的LPK.dll(这个是根语言有关的一个动态库),
如果当前目录下有 LPK.dll的话, 它就会优先加载当前目录的这个Dll.这就造成了LPK.dll 被我们的Game.exe加载.然后LPK里面的代码就是加载 gameset.dat到我们的game.exe
这就是木马的启动方式,没有写注册表,没有感染文件,非常隐蔽.清楚也非常方便删除LPK.dll 就可以了.(要把文件夹显示隐藏文件属性构上)
然后就是这个木马的盗号方式了, 这个木马没有用任何键盘鼠标钩子,它全部都是pach 了我们game.exe 的代码来截取数据.
杀毒软件无法查杀,因为没有感染文件也没有修改注册表等等。
简单的说就是 显示隐藏文件然后 删除 LPK.dll
这个木马不一定会影响我们的游戏还可能影响大家其他的一些软件等等。
最近在忙一些bug和圣诞活动,还有外挂等问题,所以上论坛的时间很少了,发现这个木马很牛,所以还是要告诉大家小心一下,很隐蔽。补充:如果你查到的是系统的那就不要删,如果是游戏目录下的就要删,或者你先改一下那个文件的扩展名,看看没问题 了再删
如果发现删了又有那就建立一个文件夹名为 lpk.dll 设置成只读,如果是没显示扩展名的,那就建立文件名是lpk的只读文件夹苍之邂逅 发表于 2008-12-11 17:20 转贴来源:
http://bbs.xoyo.com/viewthread.p ... a=page=1&frameon=no苍之邂逅 请注意新木马盗号问题(原贴)
请各位玩家看这个被盗玩家的贴:
http://jxsj.bbs.xoyo.com/viewthr ... 14780&extra=&page=112月16日晚,半个小时之内发生在我身上的号码被盗的蹊跷事件
另外请玩家们检查某个网游客户端游戏目录上是否存在三个木马文件(LOOPPAPK.dat gamset.dat LPK.dll),如果有的话请手动删除,删除后及时修改登录密码,以免被盗带来的损失.如果看不到隐藏木马文件的话,
1、打开游戏文件夹,也就是。。。/某个网游 那个目录
2、打开菜单拦中的“工具”栏中的“文件夹选项”,选中“查看”。
3、选择“显示所有文件和文件夹”,并且把“隐藏受保护的操作系统文件(推荐)”那个项目前的对勾给取消掉,然后按确定。
4、这时开始寻找在 /某个网游 那个目录底下是否有隐藏文件 LOOPPAPK.dat 、 gamset.dat和 LPK.dll这3个隐藏文件。
5、如果有,将游戏客户端关闭,将这3个隐藏文件删除。
6、因为这时你之前的资料已经都被盗走,所以删除后,迅速登录官方网游网站修改登录密码.用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; InfoPath.2; .NET CLR 2.0.50727; .NET CLR 3.0.04506.30; .NET CLR 1.1.4322; .NET CLR 3.0.04506.648; aff-kingsoft-ciba; GreenBrowser)
拉斐文 最后编辑于 2008-12-21 15:04:25
