一个名为“酷狮子”的系列盗号木马替换网络游戏客户端,杀毒软件遭遇“误杀”尴尬。
9月3日,金山毒霸客户服务中心接到用户黄先生的电话,称其电脑内的网络游戏被某杀毒软件当作病毒删除,导致无法正常启动。金山毒霸反病毒工程师根据黄先生的描述以及对其杀毒日志进行分析,发现黄先生遇到的问题并非杀毒软件“误杀”,而是一个名为“酷狮子”的系列盗号木马所为。
金山毒霸反病毒工程师戴光剑表示,不同于传统的盗号木马,“酷狮子”系列盗号木马采取替换网游客户端程序的手段,仅在用户启动游戏时激活。此外,盗号木马与网游客户端一模一样的图标也让杀毒软件处理该木马面临尴尬的局面。(如图1)
戴光剑解释说,如果杀毒软件将大量程序文件报为病毒,用户或者会注意到这是一个感染型的病毒;但是如果杀毒软件仅仅把网络游戏图标的程序报为病毒,文件路径还跟网游客户端程序一模一样,那么用户很可能认为这是误报,即使用户允许杀毒软件把这些文件清除,在无法运行网游的情况下,也很可能会认为是误杀。
金山毒霸反病毒监测中心最初收集到“酷狮子”系列木马时发现,文件名都含有“kulion”字符,出于对病毒敏感,金山毒霸反病毒工程师以此为关键字,在网络上进行了搜索,结果进一步揭开了“酷狮子”系列木马的神秘面纱,http://www.kulion.com/网站浮出水面。从该网站的信息来看,几乎可以肯定是该系列木马作者的网站,在网站中最显眼位置写有“专业定做,品质保证”的字样,而且还公然留下了QQ号码,嚣张程度可见一般。(如图2)
据了解,目前金山收集到的“酷狮子”系列木马变种达到10个之多,根据其盗号的游戏不同,可以分为5类,分别针对魔兽世界、热血江湖、完美世界、武林外传和诛仙。金山表示会将该网站提交相关部门进行处理。
根据该系列木马的传播特点,金山毒霸反病毒监测中心及时进行了病毒库升级,金山毒霸用户只要升级到最新版本即可查杀。此外,由于“酷狮子”系列木马没有自保护功能,非毒霸用户只要找到文件便可以直接删除。以魔兽世界为例,下图是魔兽世界的客户端程序,一个已经被盗号木马替换,另外一个则是正常的。
如图(3),除了文件名和图标之外,正常的游戏客户端跟盗号木马还是很大区别的。例如文件大小方面,正常的是6.77M而木马则是26.2K,明显不是同一个数量级的。此外,正常的游戏客户端还有比较详细的描述,例如公司和文件版本,这些都是盗号木马所没有的。
通过文件夹选项作如图(4)的设置,便可以显示网游安装目录下的所有文件,找到被木马隐藏的正常客户端,改为原来的名字后便可以正常使用网游。值得一提的是,正常的游戏客户端程序的升级都有可能导致该盗号木马被清除,如果你发现网游目录下有两个正常的客户端程序,也请尽快修改你的游戏帐号密码,以防被盗。
网友评论