金山网盾监测:游戏玩家下载西西游戏外挂会中大量木马
据金山毒霸安全实验室监测,6月17日,金山网盾云端数据突然监测到西西游戏网的当日外挂下载均报危险。西西游戏网是深受外挂玩家欢迎的游戏外挂下载网站,外挂玩家出于对西西游戏网的信任,很可能认为杀毒软件误报西西游戏网下载的外挂程序。若已不幸中毒,可使用金山急救箱快速恢复系统,安装了金山网盾的用户将不会受害。
金山毒霸安全专家对西西游戏网的异常情况进行了详细检查,结果发现是西西游戏网近日提供了一个西西游戏登录器,这个登录器的作用是在西西游戏网不能登录时,使用登录器访问备用网站。但很不幸,这个备用网站被入侵,或备用网站出于某些原因被人为植入木马。当外挂玩家访问备用网站时,会下载大量xx木马。安装了金山网盾的玩家在打开西西游戏登录器访问到挂马页面时,金山网盾会立即弹出报警。
分析发现挂马的方式是在正常页面中插入
图 1 西西游戏网挂马页面下载的木马列表 若外挂玩家不慎中招,会发现系统速度变慢。在开始、运行,输入%Temp%,会发现temp文件夹下出现大量隐藏属性的DLL文件图 2 访问西西游戏网不慎中毒之后,会在temp文件夹发现大量DLL病毒
中毒后的电脑会发现桌面快捷方式小箭头不见了,这是病毒修改了桌面快捷方式的属性。
图 3 访问西西游戏网中毒之后,桌面快捷方式被修改 可以简单的使用dir命令,查看开始菜单快捷方式被病毒修改的情况 图 4 访问西西游戏网中毒之后,开始菜单程序组内的大量快捷方式被修改
查看被修改后的桌面快捷方式属性,会发现对应的打开方式已被修改为wscript.exe
图 5 从西西游戏网下载中毒后,快捷方式属性被修改
西西游戏网被挂马的页面已被管理员发现xx,目前尚无法得知这是网站被黑客入侵还是其它人为原因。金山安全专家提醒游戏玩家,特别是偏好使用外挂的游戏玩家务必小心,推荐安装金山网盾拦截可能的威胁。
已经不幸中招的外挂玩家,可以使用金山急救箱来xx病毒,修复被破坏的系统。
图 6 使用金山急救箱快速xx病毒,恢复被破坏的系统 开始菜单程序组的快捷方式修复后,小箭头恢复
图 7 使用金山急救箱快速xx病毒,恢复被破坏的快捷方式 使用DIR命令看一下快捷方式的扩展名是不是恢复了
图8 DIR命令检查快捷方式,发现扩展名已恢复 |