最新木马警报（最近更新：2008-06-25）

巡游天官 · 发表于 2007-12-7 18:08:51

近日工作人员再次截获一种新的梦幻西游盗号木马，特此提醒广大玩家注意账号安全，并公布它的一些特征，希望广大玩家仔细分辨、避免被盗，加强账号安全意识，维护自身权益。

一、该木马具备以下特征：

1、木马在windows系统目录中创建以下文件：

C:\WINDOWS\system32\dbi100.dll

C:\WINDOWS\system32\bjrvm.dll

C:\WINDOWS\system32\hjk.dll

C:\WINDOWS\system32\gjbhr.dll

2、启动梦幻西游后，木马会将以上DLL文件注入my.exe进程。

3、木马会修改注册表以下位置：

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs

HKLM\SYSTEM\CurrentControlSet\Services\seictrl\ImagePath

二、建议玩家

1、搜索计算机上述特征位置是否有以下异常文件。

dbi100.dll / bjrvm.dll / hjk.dll / gjbhr.dll

2、使用“木马排查指引”贴中提供的ProcessInfo.exe工具，查看梦幻进程中是否有dbi100.dll / bjrvm.dll / hjk.dll / gjbhr.dll注入。

我们已经在分析此类木马，并会尽快处理。如果大家检测到以上状况后立即进行离线全盘杀毒，如果木马仍然存在，请重装系统。

如果您发现有以上特征，并且已经登录过游戏，请您尽快到一个安全的网络环境中修改密码。

如果您还没有绑定任何密保产品，请您尽快选择一款适合您的密保产品来保护账号。

密码保护卡： http://nie.163.com/2007/mibaoka/<;/FONT> (免费服务)

将军令： http://ekey.163.com/<;/SPAN>

手机密保： http://sms.nie.163.com/<;/U>

电话密保： http://nie.163.com/topic/dhmb/<;/U> (免费服务)

巡游天官 · 发表于 2007-12-19 14:17:27

木马警报（<?xml:namespace prefix = st1 ns = "urn:schemas-microsoft-com:office:smarttags" /><st1:chsdate w:st="on" IsROCDate="False" IsLunarDate="False" Day="3" Month="3" Year="2008">2008-03-03</st1:chsdate>）<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" /><o:p></o:p>
近日工作人员再次截获一种新的梦幻西游盗号木马，特此提醒广大玩家注意账号安全，并公布它的一些特征，希望广大玩家仔细分辨、避免被盗，加强账号安全意识，维护自身权益。<o:p></o:p>
<o:p> </o:p>
一、该木马具备以下特征：<o:p></o:p>
1、木马在windows系统目录中创建以下文件：<o:p></o:p>
C:\WINDOWS\system32\bauhgnem.dll<o:p></o:p>
<o:p> </o:p>
2、启动梦幻西游后，木马会将bauhgnem.dll注入my.exe进程。<o:p></o:p>
<o:p> </o:p>
3、木马会修改注册表以下位置：<o:p></o:p>
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs<o:p></o:p>
<o:p> </o:p>
二、建议玩家<o:p></o:p>
    1、搜索计算机上述特征位置是否有以下异常文件。<o:p></o:p>
bauhgnem.dll<o:p></o:p>
<o:p> </o:p>
    2、使用“<A href="http://xyq.netease.com/viewthread.php?tid=206759&extra=page%3D1">木马排查指引</A>”贴中提供的<A href="http://xyq.163.com/download/ProcessInfo.exe">ProcessInfo.exe</A>工具，查看梦幻进程中是否有bauhgnem.dll注入。<o:p></o:p>
<o:p> </o:p>
我们已经在分析此类木马，并会尽快处理。如果大家检测到以上状况后立即进行离线全盘杀毒，如果木马仍然存在，请重装系统。<o:p></o:p>
如果您发现有以上特征，并且已经登录过游戏，请您尽快到一个安全的网络环境中修改密码。<o:p></o:p>
如果您还没有绑定任何密保产品，请您尽快选择一款适合您的密保产品来保护账号。<o:p></o:p>
<A href="http://nie.163.com/2007/mibaoka/">密码保护卡</A>：<A href="http://nie.163.com/2007/mibaoka/">http://nie.163.com/2007/mibaoka/</A><A href="http://nie.163.comibaokam/2007/"></A>  (免费服务)<o:p></o:p>
<A href="http://ekey.163.com/">将军令</A>    ：  <A href="http://ekey.163.com/">http://ekey.163.com/</A><o:p></o:p>
<A href="http://sms.nie.163.com/mhmb/">手机密保</A>  ： <A href="http://sms.nie.163.com/">http://sms.nie.163.com/</A><A href="http://sms.nie.163.com/mhmb/"></A><o:p></o:p>
<A href="http://nie.163.com/topic/dhmb/">电话密保</A>  ： <A href="http://nie.163.com/topic/dhmb/">http://nie.163.com/topic/dhmb/</A>   (免费服务)<o:p></o:p>
<DIV style="BORDER-RIGHT: medium none; PADDING-RIGHT: 0cm; BORDER-TOP: medium none; PADDING-LEFT: 0cm; PADDING-BOTTOM: 1pt; BORDER-LEFT: medium none; PADDING-TOP: 0cm; BORDER-BOTTOM: windowtext 2.25pt double; mso-element: para-border-div">
<P class=MsoNormal style="BORDER-RIGHT: medium none; PADDING-RIGHT: 0cm; BORDER-TOP: medium none; PADDING-LEFT: 0cm; PADDING-BOTTOM: 0cm; MARGIN: 0cm 0cm 0pt; BORDER-LEFT: medium none; WORD-BREAK: break-all; PADDING-TOP: 0cm; BORDER-BOTTOM: medium none; TEXT-ALIGN: left; mso-pagination: widow-orphan; mso-border-bottom-alt: double windowtext 2.25pt; mso-padding-alt: 0cm 0cm 1.0pt 0cm" align=left><o:p> </o:p></DIV>
<o:p> </o:p>
木马警报（<st1:chsdate w:st="on" IsROCDate="False" IsLunarDate="False" Day="7" Month="12" Year="2007">2007-12-07</st1:chsdate>）<o:p></o:p>
近日工作人员再次截获一种新的梦幻西游盗号木马，特此提醒广大玩家注意账号安全，并公布它的一些特征，希望广大玩家仔细分辨、避免被盗，加强账号安全意识，维护自身权益。<o:p></o:p>
<o:p> </o:p>
一、该木马具备以下特征：<o:p></o:p>
1、在人物登录界面，人物显示位置中未创建的角色空位置显示外星人形象。<o:p></o:p>
<o:p> </o:p>
    2、木马在windows系统目录中创建以下文件：<o:p></o:p>
        C:\windows\system32\ inetsvr.exe<o:p></o:p>
C:\windows\system32\ilove.sys<o:p></o:p>
C:\windows\system32\netapi16.dll<o:p></o:p>
<o:p> </o:p>
3、启动梦幻西游后，木马会将netapi16.dll注入my.exe进程。<o:p></o:p>
<o:p> </o:p>
4、按Ctrl+Alt+Del 选择任务管理器，选择进程，能看到 inetsvr.exe 这个进程。<o:p></o:p>
<o:p> </o:p>
5、启动项中会增加启动项  inetsvr.exe（C:\windows\system32\ inetsvr.exe）<o:p></o:p>
<o:p> </o:p>
二、建议玩家<o:p></o:p>
    1、搜索计算机上述特征位置是否有以下异常文件。<o:p></o:p>
inetsvr.exe   ilove.sys   netapi16.dll<o:p></o:p>
<o:p> </o:p>
    2、在登录过程中发现人物列表异常，请不要继续操作，将杀毒软件更新后，断开网络进行查杀病毒。如问题无法解决，建议大家重新安装操作系统。<o:p></o:p>
<o:p> </o:p>
我们已经在分析此类木马，并会尽快处理。如果大家检测到以上状况后立即进行离线全盘杀毒，如果木马仍然存在，请重装系统。<o:p></o:p>
如果您发现有以上特征，并且已经登录过游戏，请您尽快到一个安全的网络环境中修改密码。<o:p></o:p>
如果您还没有绑定任何密保产品，请您尽快选择一款适合您的密保产品来保护账号。<o:p></o:p>
<A href="http://nie.163.com/2007/mibaoka/">密码保护卡</A>：<A href="http://nie.163.com/2007/mibaoka/">http://nie.163.com/2007/mibaoka/</A><A href="http://nie.163.comibaokam/2007/"></A>  (免费服务)<o:p></o:p>
<A href="http://ekey.163.com/">将军令</A>    ：  <A href="http://ekey.163.com/">http://ekey.163.com/</A><o:p></o:p>
<A href="http://sms.nie.163.com/mhmb/">手机密保</A>  ： <A href="http://sms.nie.163.com/">http://sms.nie.163.com/</A><A href="http://sms.nie.163.com/mhmb/"></A><o:p></o:p>
<A href="http://nie.163.com/topic/dhmb/">电话密保</A>  ： <A href="http://nie.163.com/topic/dhmb/">http://nie.163.com/topic/dhmb/</A>   (免费服务)<o:p></o:p>
<o:p> </o:p>

巡游天官 · 发表于 2007-12-19 14:18:33

近日工作人员再次截获一种新的梦幻西游盗号木马，特此提醒广大玩家注意账号安全，并公布它的一些特征，希望广大玩家仔细分辨、避免被盗，加强账号安全意识，维护自身权益。<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" /><o:p></o:p>
<o:p> </o:p>
一、该木马具备以下特征：<o:p></o:p>
       1、木马在当前用户的temp文件夹中创建以下文件：（例如当前用户是:Administrator）<o:p></o:p>
        C:\Documents and Settings\Administrator\Local Settings\Temp\mhso.exe<o:p></o:p>
C:\Documents and Settings\Administrator\Local Settings\Temp\mhso0.dll<o:p></o:p>
<o:p> </o:p>
       2、木马修改注册表以下位置 <o:p></o:p>
              创建：HKLM\SoftWare\Microsoft\Windows\CurrentVersion\Run\mhsa <o:p></o:p>
mhsa值：" C:\Documents and Settings\Administrator\Local Settings\Temp\mhso.exe "<o:p></o:p>
<o:p> </o:p>
3、将mhso0.dll注入到explorer.exe中。启动梦幻后，再注入进my.exe游戏进程窃取游戏账号密码。<o:p></o:p>
<o:p> </o:p>
二、建议玩家<o:p></o:p>
       1、搜索计算机内是否有以下异常文件：<o:p></o:p>
          mhso.exe 、 mhso0.dll   <o:p></o:p>
<o:p> </o:p>
       2、建议使用安全卫士等可以查看加载具体DLL的软件。查看explorer.exe。my.exe 进程中是否被注入了mhso0.dll<o:p></o:p>
       <o:p></o:p>
       3、请在运行栏中输入“regedit”打开注册表，查看木马特征第二项中所提示的注册表位置是否有异常。<o:p></o:p>
<o:p> </o:p>
我们已经在分析此类木马，并会尽快处理。如果大家检测到以上状况请离线全盘杀毒或重装系统。<o:p></o:p>
如果您发现有以上特征，并且已经登录过游戏，请您尽快到一个安全的网络环境中修改密码，建议您使用“<A href="http://nie.163.com/2007/mibaoka/">密保卡</A>”绑定您的账号，这项服务是完全免费的。或者您还可以选择绑定“<A href="http://sms.nie.163.com/mhmb/">手机密保</A>”或“<A href="http://ekey.163.com/">将军令</A>”，以确保您的账号安全。<o:p></o:p>
<o:p> </o:p>

巡游天官 · 发表于 2007-12-19 14:20:12

近日工作人员再次截获一种新的梦幻西游盗号木马，特此提醒广大玩家注意账号安全，并公布它的一些特征，希望广大玩家仔细分辨、避免被盗，加强账号安全意识，维护自身权益。
<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" /><o:p> </o:p>
一、该木马具备以下特征：<o:p></o:p>
       1、木马在以下位置创建文件<o:p></o:p>
                     C:\Documents and Settings1\您的当前用户名\Local Settings\Temp\mhly.exe 
                     C:\Documents and Settings1\您的当前用户名\Local Settings\Temp\mhx.exe 
                     C:\WINDOWS\system32\MSDEG32.DLL
                     C:\WINDOWS\system32\LYMANGR.DLL
                     C:\WINDOWS\system32\LYLOADER.EXE
              
       2、当前进程列表中会多出 “ mhx.exe ” 这个进程。<o:p></o:p>
              
       3、木马修改注册表以下位置  （木马修改利用注册表以下位置进行启动，其中以*.bat结尾的文件名是随机的。）<o:p></o:p>
                     HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\Documents and Settings\Administrator.5D6D<?xml:namespace prefix = st1 ns = "urn:schemas-microsoft-com:office:smarttags" /><st1:chmetcnv w:st="on" TCSC="0" NumberType="1" Negative="False" HasSpace="False" SourceValue="52" UnitName="C">52C</st1:chmetcnv><st1:chmetcnv w:st="on" TCSC="0" NumberType="1" Negative="False" HasSpace="False" SourceValue="3" UnitName="C">3C</st1:chmetcnv>71443E\桌面\mhcs.exe
                     HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\DOCUME~1\ADMINI~1.5D6\LOCALS~1\Temp\mhly.exe
                     HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\DOCUME~1\ADMINI~1.5D6\LOCALS~1\Temp\mhx.exe
                     HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\DOCUME~1\ADMINI~1.5D6\LOCALS~1\Temp\OPE20.bat
                     HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\DOCUME~1\ADMINI~1.5D6\LOCALS~1\Temp\OPE21.bat
                     HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\DOCUME~1\ADMINI~1.5D6\LOCALS~1\Temp\OPE22.bat
<o:p> </o:p>
       4、木马将 LYMANGR.DLL 注入到 services.exe 系统服务进程中。梦幻启动后将 MSDEG32.DLL 文件注入到梦幻的进程中用来截取账号密码。<o:p></o:p>
<o:p> </o:p>
二、建议玩家<o:p></o:p>
       1、搜索计算机内是否有以下异常文件：<o:p></o:p>
          mhly.exe 、 mhx.exe 、MSDEG32.DLL 、 LYMANGR.DLL 、LYLOADER.EXE<o:p></o:p>
       <o:p></o:p>
       2、按Ctrl+Alt+Del 组合键 ，选择“进程”选项， 查看是否有 “mhx.exe”<o:p></o:p>
       <o:p></o:p>
       3、请在运行栏中输入“regedit”打开注册表，查看木马特征第三项中所提示的注册表位置是否有异常。<o:p></o:p>
<o:p> </o:p>
我们已经在分析此类木马，并会尽快处理。如果大家检测到以上状况请离线全盘杀毒或重装系统。<o:p></o:p>
如果您发现有以上特征，并且已经登录过游戏，请您尽快到一个安全的网络环境中修改密码，建议您使用“<A href="http://nie.163.com/2007/mibaoka/">密保卡</A>”绑定您的账号，这项服务是完全免费的。或者您还可以选择绑定“<A href="http://sms.nie.163.com/mhmb/">手机密保</A>”或“<A href="http://ekey.163.com/">将军令</A>”，以确保您的账号安全。

巡游天官 · 发表于 2007-12-19 14:22:38

近日工作人员再次截获一种新的梦幻西游盗号木马，特此提醒广大玩家注意账号安全，并公布它的一些特征，希望广大玩家仔细分辨、避免盗号，加强账号安全意识，维护自身权益。
该木马具备以下特征：
一、木马在以下位置创建文件 1、C:\WINDOWS\Kernelmh.exe 2、当前用户temp文件夹下，创建*.tmp.rom
二、木马修改注册表以下位置 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "kernelmh"="C:\\WINDOWS\\Kernelmh.exe"
三、注入到explorer.exe进程中。
建议玩家搜索计算机内是否有Kernelmh.exe文件，搜索当前用户temp目录下是否有*.tmp.rom文件。
我们已经在分析此类木马，并会尽快处理。如果大家检测到此状况请离线全盘杀毒或重装系统。

巡游天官 · 发表于 2007-12-19 14:25:03

近日工作人员再次截获一种新的盗号木马，特此提醒广大玩家注意账号安全，并公布它的一些特征，希望广大玩家仔细分辨、避免盗号，加强账号安全意识，维护自身权益。
<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" /><o:p></o:p> 
<o:p></o:p>
该木马具备以下特征：
1、修改注册表以下关键位置：
HKEY_CURRENT_USER\Software\Microsoft\CurrentVersion\Run\
下创建字串SymhMy 值为 C:\WINNT\system32\iexpl0er.exe （注意是数字零）

 

2、将自己复制到计算机系统目录
在C:\WINNT\system32\ 目录下创建木马文件 iexpl0er.exe

<o:p></o:p>
<o:p></o:p> 
<o:p></o:p>
3、在进程中多出一个异常进程 iexpl0er.exe 

 

建议玩家搜索计算机内是否有 iexpl0er.exe文件
 
<o:p></o:p>
打开任务管理器 Ctrl＋Alt＋Delete 选择任务管理器，选择“进程” 观察是否有iexpl0er.exe这个进程。
 
<o:p></o:p>
我们已经在分析此类木马，并会尽快处理。如果大家检测到此状况请离线全盘杀毒或重装系统。

巡游天官 · 发表于 2007-12-19 14:26:08

近日工作人员再次截获一种新的梦幻西游盗号木马，特此提醒广大玩家注意账号安全，并公布它的一些特征，希望广大玩家仔细分辨、避免被盗，加强账号安全意识，维护自身权益。<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" /><o:p></o:p>
<o:p> </o:p>
一、该木马具备以下特征：<o:p></o:p>
       1、木马在%systemDir%\System32\目录和%systemDir%\System32\Drivers\中创建以下文件：<o:p></o:p>
              xyepri.dll   、  RemoteDbg.dll   、 CelInDriver.sys  、   CelInDriver.sysk<o:p></o:p>
<o:p> </o:p>
       2、木马修改注册表以下位置 <o:p></o:p>
HKCR\CLSID\{613AF<?xml:namespace prefix = st1 ns = "urn:schemas-microsoft-com:office:smarttags" /><st1:chmetcnv w:st="on" TCSC="0" NumberType="1" Negative="False" HasSpace="False" SourceValue="41" UnitName="a">41A</st1:chmetcnv>-21B1-131B-1BFC-D<st1:chmetcnv w:st="on" TCSC="0" NumberType="1" Negative="False" HasSpace="False" SourceValue="2" UnitName="a">2A</st1:chmetcnv>90DF<st1:chmetcnv w:st="on" TCSC="0" NumberType="1" Negative="False" HasSpace="False" SourceValue="4" UnitName="a">4A</st1:chmetcnv>2B6}\InprocServer32\(Default) SUCCESS "C:\WINDOWS\system32\xyepri.dll"<o:p></o:p>
<o:p> </o:p>
3、将xyepri.dll注入到explorer.exe中。启动梦幻后，再注入进my.exe游戏进程窃取游戏账号密码。<o:p></o:p>
<o:p> </o:p>
4、将RemoteDbg.dll作为系统服务，利用服务启动木马。<o:p></o:p>
<o:p> </o:p>
二、建议玩家做如下检测：<o:p></o:p>
       1、搜索计算机内是否有以下异常文件：<o:p></o:p>
              xyepri.dll   、  RemoteDbg.dll   、 CelInDriver.sys  、   CelInDriver.sysk<o:p></o:p>
<o:p> </o:p>
       2、建议使用安全卫士等可以查看加载具体DLL的软件。查看explorer.exe。my.exe 进程中是否被注入了xyepri.dll   、  RemoteDbg.dll<o:p></o:p>
       <o:p></o:p>
       3、请在运行栏中输入“regedit”打开注册表，查看木马特征第二项中所提示的注册表位置是否有异常。<o:p></o:p>
<o:p> </o:p>
       4、请打开“控制面板”--<SPAN lang=EN-US style="COLOR: green; FONT-FAMILY: Wingdings; mso-bidi-font-size: 10.5pt; mso-ascii-font-family: 'Times New Roman'; mso-hansi-font-family: 'Times New Roman'; mso-bidi-font-family: 宋体; mso-font-kerning: 0pt; mso-char-type: symbol; mso-symbol-font-family: Wingdings">à“管理工具”--<SPAN lang=EN-US style="COLOR: green; FONT-FAMILY: Wingdings; mso-bidi-font-size: 10.5pt; mso-ascii-font-family: 'Times New Roman'; mso-hansi-font-family: 'Times New Roman'; mso-bidi-font-family: 宋体; mso-font-kerning: 0pt; mso-char-type: symbol; mso-symbol-font-family: Wingdings">à“服务” 检查服务中，是否存在  RemoteDbg.dll<o:p></o:p>
<o:p> </o:p>
我们已经在分析此类木马，并会尽快处理。如果大家检测到以上状况请保存重要资料后进行离线全盘杀毒或重装系统。<o:p></o:p>
如果您发现有以上特征，并且已经登录过游戏，请您尽快到一个安全的网络环境中修改密码，建议您使用“<A href="http://nie.163.com/2007/mibaoka/">密保卡</A>”绑定您的账号，这项服务是完全免费的。或者您还可以选择绑定“<A href="http://sms.nie.163.com/mhmb/">手机密保</A>”或“<A href="http://ekey.163.com/">将军令</A>”，以确保您的账号安全。<o:p></o:p>

巡游天官 · 发表于 2008-3-13 14:15:29

近日我们截获一种新的盗号工具，特此提醒广大玩家注意账号安全！
<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" /><o:p> </o:p>
这种盗号工具原理是通过修改客户端，在玩家登录账号时以透明输入框覆盖在梦幻的登录框上，玩家登录游戏之后，则迅速通过邮件将相关账号信息发送至指定的盗号者信箱。考虑到该盗号工具有可能已在部分玩家电脑上扎根，故于此公布它的一些特征，希望广大玩家仔细分辨、避免盗号，加强账号安全意识，维护自身权益。
<o:p> </o:p>
该“盗号界面”具备以下特征：
一、点选输入框之后，可以看见左上角的“梦幻西游ONLINE”变为灰色，这意味着真正的“梦幻登录界面”并非当前窗口，而被虚假的盗号界面遮盖；
<o:p> </o:p>
二、游戏登录界面出现的一刹那，原先可以看见背景的透明登录框变为灰色背景的输入框，不能再看见背景图案，且在账号输入框和密码输入框之间无法按“Tab”键进行切换；
<o:p> </o:p>
三、按住鼠标左键拖动整个登录界面，登录框将会在青色和灰色之间不住闪烁；
<o:p> </o:p>
我们正在研究和破解这种盗号方式，目前所采用的应对措施是判断登录框是否为当前窗口，若非当前窗口，则梦幻窗口自动最小化至WINDOWS的工具栏，此措施随11月14日补丁放出。如果玩家遭遇此状况请离线全盘杀毒或重装系统。
<o:p> </o:p>
    盗号行为严重影响我们的游戏世界，我们再次申明：对盗号行为坚决打击，绝不手软。希望广大的玩家能和我们一同携手，把盗号的丑恶现象从我们的“梦幻西游”中彻底驱逐出去，还“梦幻西游”一片清净的天空！

最新木马警报（最近更新：2008-06-25）

评分

相关帖子

木马警报（2008-03-03）

评分

木马警报（6月15日）

评分

木马警报(4月30日)

评分

木马警报(4月17日)

评分

木马警告（1月16日）

评分

木马警报（2006-11-20）

评分

木马警报（2006-11-13）

评分