《大话西游2经典版》官方论坛

标题: 新盗号mu马警报(2007.06.15) [打印本页]

作者: 巡游天官 时间: 2007-6-15 18:12
标题: 新盗号mu马警报(2007.06.15)
近日工作人员再次截获一种新的大话西游盗号mu马，特此提醒广大玩家注意帐号安全，并公布它的一些特征，希望广大玩家仔细分辨、避免被盗，加强帐号安全意识，维护自身权益。

一、该mu马具备以下特征：
1、mu马在当前用户的temp文件夹中创建以下文件：（例如当前用户是:Administrator）
  C:\Documents and Settings\Administrator\Local Settings\Temp\daso.exe
  C:\Documents and Settings\Administrator\Local Settings\Temp\daso0.dll

2、mu马修改注册表以下位置
  创建：HKLM\SoftWare\Microsoft\Windows\CurrentVersion\Run\dasa
dasa值：" C:\Documents and Settings\Administrator\Local Settings\Temp\daso.exe"

3、将daso0.dll注入到explorer.exe中。启动大话后，再注入进xy2.exe游戏进程窃取游戏帐号密码。

二、建议玩家
1、搜索计算机内是否有以下异常文件：
daso.exe 、daso0.dll

2、建议使用安全卫士等可以查看加载具体DLL的软件。查看explorer.exe。xy2.exe 进程中是否被注入了daso0.dll

3、请在运行栏中输入“regedit”打开注册表，查看mu马特征第二项中所提示的注册表位置是否有异常。
我们已经在分析此类mu马，并会尽快处理。如果大家检测到以上状况请离线全盘杀毒或重装系统。
如果您发现有以上特征，并且已经登录过游戏，请您尽快到一个安全的网络环境中修改密码，建议您使用“密保卡”绑定您的帐号，这项服务是完全免费的。或者您还可以选择绑定“手机密保”或“将军令”，以确保您的帐号安全。

作者: harrypotterzhen 时间: 2007-6-15 18:27
沙发

全局置定

[ 本帖最后由 harrypotterzhen 于 2007-6-16 10:55 编辑 ]

作者: 112065454 时间: 2007-6-15 18:33

板凳

作者: ydxhcc 时间: 2007-6-15 18:34

作者: harrypotterzhen 时间: 2007-6-15 18:38
[quote]原帖由 巡游天官 于 2007-6-15 18:12 发表

二、建议玩家
1、搜索计算机内是否有以下异常文件：
daso.exe 、daso0.dll

2、建议使用安全卫士等可以查看加载具体DLL的软件。查看explorer.exe。xy2.exe 进程中是否被注入了daso0.dll

3、请在运行栏中输入“regedit”打开注册表，查看mu马特征第二项中所提示的注册表位置是否有异常。
我们已经在分析此类mu马，并会尽快处理。如果大家检测到以上状况请离线全盘杀毒或重装系统。
如果您发现有以上特征，并且已经登录过游戏，请您尽快到一个安全的网络环境中修改密码，建议您使用“密保卡”绑定您的帐号，这项服务是完全免费的。或者您还可以选择绑定“手机密保”或“将军令”，以确保您的帐号安全。

这些说跟不说什么区别

很多玩家即使搜出来了恐怕也不会处理

建议给我们更详细的应对措施

比如推荐一个杀毒程序/杀木M的软件

不是免费的干脆别推荐了

作者: 霓刹 时间: 2007-6-15 18:50

作者: hongningyi 时间: 2007-6-15 18:52
提示: 作者被禁止或删除内容自动屏蔽

作者: 狼亦钟情o 时间: 2007-6-15 18:54

作者: 幽蓝 时间: 2007-6-15 18:54

作者: 白老大 时间: 2007-6-15 18:55

作者: 一脸坏笑 时间: 2007-6-15 18:55
我觉得游戏也该配个安全维护组，专门搜集查杀游戏mu马。
当然，能写出专杀工具较好，有些涉及注册表及DLL，或安全模式清除等操作不适合大众玩家

谢谢楼主的提醒，不知为何，最近大话mu马开始猖獗

作者: 玲儿 时间: 2007-6-15 18:59

作者: §帅气宝贝§ 时间: 2007-6-15 19:05

作者: yezhongfu-12 时间: 2007-6-15 19:06

作者: 315068406 时间: 2007-6-15 19:07
如果搜索没有什么办

作者: (-゜专属承诺、 时间: 2007-6-15 19:09
翻

作者: 々lovely々 时间: 2007-6-15 19:15

作者: 无唁∮关暧 时间: 2007-6-15 19:17

作者: 記憶。 时间: 2007-6-15 19:21

作者: zmd1982 时间: 2007-6-15 19:24
贴个序列号D411-2926-4227-0153

作者: 缘←寒冰 时间: 2007-6-15 19:44

作者: a8811639 时间: 2007-6-15 20:04
标题: 什么时候公测！！
什么时候公测啊！！！！！！！

作者: 风♀雾月 时间: 2007-6-15 20:06

作者: 暮若秋辞 时间: 2007-6-15 20:22
将daso0.dll注入到explorer.exe中。启动大话后，再注入进xy2.exe游戏进程窃取游戏帐号密码。
为什么我先发现报告
什么奖励都没#0 #0 #0

作者: wanglulu333520 时间: 2007-6-15 20:25

作者: f.h68 时间: 2007-6-15 20:52

作者: →‰柠檬汁‰← 时间: 2007-6-15 20:54

作者: 暮若秋辞 时间: 2007-6-15 21:24
为什么我发现的
现在成你们的了
不了了之吗

作者: yangjuxin 时间: 2007-6-15 21:28
都放的什么屁

作者: 圝◣修罗◢圝 时间: 2007-6-15 21:59
盗吧　盗完了网易也该去死了

作者: 375398607 时间: 2007-6-15 22:04

作者: 独我逍遥 时间: 2007-6-15 22:06

我的电脑经常中毒

但是就没有你们说的这2个daso.exe 、daso0.dll ~~~~~~~~

你们说的也看不懂~~最好给我们个免费杀大话2的杀毒软件

作者: 剪秋罗 时间: 2007-6-15 22:37
今天一大早刚起来,正在看这个帖子,Symentac Antivirus报了两个muma.
一个是Infostealer.Gampass,一看名字就是盗游戏帐号的,另一个是Infostealer,先将Symantec的有关报告帖在下面. 两个都是6月15号出的最新版本, 请大家一定小心.

Infostealer.Gampass(在我电脑里面以文件名jh514006234.exe存在)

Discovered: November 12, 2006
Updated: March 16, 2007 7:51:32 AM
Also Known As: LIneage YI [Computer Associates]
Type: Trojan
Infection Length: Varies
Systems Affected: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP

Infostealer.Gampass is a generic detection for a Trojan horse that steals online game accounts, such as Lineage, Ragnarok online, Rohan, and Rexue Jianghu.

Note: Virus definitions dated November 17, 2006 or later may detect this threat as Bloodhound.KillAV.ProtectionInitial Rapid Release version November 12, 2006
Latest Rapid Release version June 15, 2007 revision 019
Initial Daily Certified version November 12, 2006
Latest Daily Certified version June 15, 2007 revision 018
Initial Weekly Certified release date November 15, 2006

Once executed, the Trojan may copy itself with a random name in the %Windir% directory.

It may then drop randomly named DLL files in the %System% directory.

The Trojan also may end the following processes:

RavMon.exe
Ravmond.EXE
IPARMOR.EXE
adam.exe
EGHOST.EXE
MAILMON.EXE
KAVPFW.EXE
Next, it may add a value to the following registry subkey so that it runs every time Windows starts:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

It also may log keystrokes when users log into various online games and send them to a predetermined email address or web site.

------------------------------

Infostealer(在我电脑里以wlm.exe存在)

Discovered: December 8, 1997
Updated: April 4, 2007 5:02:59 PM
Type: Trojan
Systems Affected: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP

Infostealer is a generic detection for Trojan horse programs that attempt to steal sensitive information such as login credentials.

Note: Virus definitions dated 3rd May, 2006 or earlier may detect this threat as PWSteal.Trojan.ProtectionInitial Rapid Release version December 8, 1997
Latest Rapid Release version June 14, 2007 revision 053
Initial Daily Certified version December 8, 1997
Latest Daily Certified version June 15, 2007 revision 018
Initial Weekly Certified release date December 10, 1997

作者: 獨自＆快樂 时间: 2007-6-15 22:39

作者: 独我逍遥 时间: 2007-6-15 22:57
。。

作者: tianni 时间: 2007-6-15 22:58
仲玩@#$%#$,揪~~~

作者: wpfibwb502 时间: 2007-6-15 23:00
163主页上都是muma

谁知道是不是你们自己弄出来的

作者: tao-w793 时间: 2007-6-15 23:29
我是没搜出那2个文件注册表不会弄这样就是没中MUMA了？
敢解锁去不

俺都吓的好长时间不敢解锁了

注册表搞不了
你说的那个路径不好意思我一年前就懂了

那里面除了互联星空的那个文件再什么都没

我天天删

作者: 陇上江南 时间: 2007-6-15 23:30

作者: 陇上江南 时间: 2007-6-15 23:31

作者: 陇上江南 时间: 2007-6-15 23:32

作者: tao-w793 时间: 2007-6-15 23:34
安全卫士这全部都是风险软件Invader 注入…… 全部都有

不知道什么东西好象查了下用这玩意的都有吧

大话劲舞等给添加到信任区了

已检测: 风险软件 Invader 运行进程: C:\WINDOWS\system32\winlogon.exe
已检测: 风险软件 Invader 运行进程: C:\Program Files\360safe\safemon\360Tray.exe
已检测: 风险软件 Invader 运行进程: C:\WINDOWS\system32\svchost.exe
已检测: 风险软件 Invader 运行进程: C:\Program Files\Tencent\QQ\Qzone\Qzone.exe
已检测: 风险软件 Invader 运行进程: C:\Program Files\Internet Explorer\IEXPLORE.EXE
已检测: 风险软件 Invader 运行进程: C:\Program Files\360safe\360Safe.exe
已检测: 风险软件 Invader 运行进程: C:\Program Files\360safe\hotfix\WindowsXP-KB933566-x86-CHS.exe
已检测: 风险软件 Invader 运行进程: C:\Program Files\360safe\hotfix\WindowsXP-KB935840-x86-CHS.exe
已检测: 风险软件 Invader 运行进程: C:\Program Files\360safe\hotfix\WindowsXP-KB935839-x86-CHS.exe
已检测: 风险软件 Invader 运行进程: C:\Program Files\Tencent\TT\TTraveler.exe
已检测: 风险软件 Invader 运行进程: C:\WINDOWS\system32\control.exe
已检测: 风险软件 Invader 运行进程: C:\Documents and Settings\tao\桌面\DubaTool_XiYou.EXE
已检测: 风险软件 Invader 运行进程: D:\大话2\XYOnlineII\xy2player.exe
已检测: 风险软件 Invader 运行进程: D:\XYOnline3-3.0.43.exe
已检测: 风险软件 Invader 运行进程: D:\大话3\xy3launch.exe
已检测: 风险软件 Invader 运行进程: C:\Documents and Settings\tao\Local Settings\Temp\apatch.exe
已检测: 风险软件 Invader 运行进程: D:\大话3\xymain.bin
已检测: 风险软件 Invader 运行进程: D:\大话3\patch\apatch.exe

作者: bing526529 时间: 2007-6-15 23:38

来晚了

作者: banggekandahua 时间: 2007-6-15 23:38

作者: yanyaogang 时间: 2007-6-15 23:45
标题: 我有将军不怕
我有将军不怕，在我们的认识中应该有将军没问题把，除非他可以知道你们网易内部的资料

作者: tianni 时间: 2007-6-15 23:52
该走的已经走了

作者: 渺儿 时间: 2007-6-16 00:29

我的进不去你说的那个文件夹，找不到

作者: sig666 时间: 2007-6-16 00:35
网易生意上门,搞密保的现在成千上万的排队

你家还搞有密保抽神兽,恶心死大家,有成分网易内部资料给人盗了不是玩家中MU马,

这只不过是网易玩的一种又另一种手法游戏罢了

作者: 蓑衣行客 时间: 2007-6-16 00:57
……

作者: ytlted 时间: 2007-6-16 01:04
标题: 为啥我就发不了贴#24
搞我是不是过了48小时我还发不了新贴为啥

给个解释

作者: 42338189 时间: 2007-6-16 04:47

作者: 弹指一笑 时间: 2007-6-16 05:23
标题: 回复 #1 巡游天官的帖子
帮我看下这是什么MM，有半个月了，每次网络连接上就跳出来一次，过几分钟又跳出一次，杀不掉重做系统也没用，希望能得到管理员的帮助

作者: 181629910 时间: 2007-6-16 07:09

原帖由 弹指一笑 于 2007-6-16 05:23 发表
帮我看下这是什么MM，有半个月了，每次网络连接上就跳出来一次，过几分钟又跳出一次，杀不掉重做系统也没用，希望能得到管理员的帮助

你这个东西根本就没不是什么毒，在百度上大个INVADER，你就知道这是什么了

笑哥也会灌水了

作者: 181629910 时间: 2007-6-16 07:12
问句你是仙灵的笑哥吧
别弄错了
那可玩笑了

作者: 13752476870 时间: 2007-6-16 07:21

作者: 25740768 时间: 2007-6-16 07:34

俺都没内测号

作者: mqklqyhm 时间: 2007-6-16 09:04

作者: liangxuan1016 时间: 2007-6-16 09:24
提示: 该帖被管理员或版主屏蔽

作者: ygc5200 时间: 2007-6-16 11:34

作者: 江湖看客 时间: 2007-6-16 12:24
不明白的

作者: yangxun145 时间: 2007-6-16 12:36
提示: 该帖被管理员或版主屏蔽

作者: 龙追日 时间: 2007-6-16 12:38
盗号的真他妈多……

作者: 跑跑卡 时间: 2007-6-16 12:51

作者: 395502873 时间: 2007-6-16 14:50

作者: 8wy789987 时间: 2007-6-16 16:33
你也好意思说近日截获，老子5月10日号被盗就发现了这个不对劲的文件，反映到坛子里你连个屁都不妨

作者: 410381 时间: 2007-6-16 16:43

好恐怖啊

作者: xzc046 时间: 2007-6-16 17:48
只知道玩游戏根本不知道电脑要去维护. 说的过分点就是活该

作者: 3993864 时间: 2007-6-16 17:49

作者: gbl 时间: 2007-6-16 18:13
亡羊补牢，可惜羊已经被偷吃的差不多了

作者: 小密 时间: 2007-6-16 19:21
偷我号的IP是59.49.191.201 我查了一下IP在海南

我的号2007年6月15日晚11点多的时候被偷的

作者: yzzxzzh 时间: 2007-6-16 19:22

作者: 凌逍遥 时间: 2007-6-16 19:24

作者: 伤心的刚刚 时间: 2007-6-16 19:57

作者: 木木三 时间: 2007-6-16 20:34
daso.exe 、daso0.dll
我前天就发现了给忽略了~

作者: Meメ狱神℃ 时间: 2007-6-16 20:48

可恶的

"贼"

作者: 邪火 时间: 2007-6-16 20:59
说和没说一样#0

作者: sunshengpo 时间: 2007-6-16 21:24

作者: 51devfhpna 时间: 2007-6-17 01:25

作者: aaabbbhot0001 时间: 2007-6-17 01:39

总比不说好,说什么推荐软件,人才不想呢,说出来某些人又得做文章,说网易给某某公司做广告之类的,这都是自作自受,没办法,自己找吧....

现在就找去

作者: luleiainia123 时间: 2007-6-17 07:04

作者: kamair 时间: 2007-6-17 13:17
我的小号被洗劫两次了

作者: 潜水超人 时间: 2007-6-17 13:31
...

作者: woaininiaiwo125 时间: 2007-6-17 14:36

作者: beviria 时间: 2007-6-17 15:21
我在注册表里搜出了daso.exe 、daso0.dll
这两个东西，我就删了，请高手教教我然后该怎么办

作者: dahualei0823 时间: 2007-6-17 16:02

作者: beviria 时间: 2007-6-17 16:06
提示: 该帖被管理员或版主屏蔽

作者: 前鬼 时间: 2007-6-17 17:01
我１３个号全被盗　连安全都．．．．．．．．

作者: 冰◎雪 时间: 2007-6-17 17:19
这段时间怎么这么多MUMA攻击大话啊???引起公愤了???

作者: 小虾米的弟弟 时间: 2007-6-17 17:44
说了半天也不提供个最新杀

马的程序，如同纸上谈兵！

作者: 一箭风 时间: 2007-6-17 22:28

作者: 南门 时间: 2007-6-17 23:23

作者: dahua3laji 时间: 2007-6-17 23:28
提示: 作者被禁止或删除内容自动屏蔽

作者: 5198169 时间: 2007-6-17 23:46
标题: 号被盗
我们那么多号在进期被盗网易也不管.这让人太伤心了.也不给我们个说法

作者: linhuicun 时间: 2007-6-18 03:03
我大号都给洗了6次

..还有我不大看懂写的是什么

教教我怎么放muma

作者: linhuicun 时间: 2007-6-18 03:04

原帖由 linhuicun 于 2007-6-18 03:03 发表
我大号都给洗了6次 ..还有我不大看懂写的是什么教教我怎么防那个木ma

作者: bingyan1951 时间: 2007-6-18 05:05

作者: 飞鸟510 时间: 2007-6-18 10:26
好久没上了不知道我的号还在不

作者: 嘸色薔薇 时间: 2007-6-18 10:27

不玩了就不会被盗号了``

作者: 8wy37283852 时间: 2007-6-18 17:26
标题: 回复 #76 邪火的帖子
有射手坐的没

有了回个

作者: flyboyill 时间: 2007-6-18 17:46

欢迎光临《大话西游2经典版》官方论坛 (https://xy2.netease.com/)