“酷狮子”玩儿偷梁换柱，毒霸背“误杀”黑锅

seamonkey

9月3日，金山毒霸客户服务中心接到客户投诉，称其电脑内的网络游戏客户端被金山毒霸当作病毒删除，导致无法正常登录游戏。金山毒霸反病毒工程师根据客户描述，对用户所称的“误杀”程序和杀毒日志进行分析，证实客户遇到的问题并非“误杀”，而是一个名为“酷狮子”的系列盗号木马所为。

不同于传统的盗号木马，“酷狮子”系列盗号木马直接替换了网游客户端程序，仅在用户启动游戏时激活。此外，盗号木马与网游客户端一模一样的图标也让杀毒软件处理该木马时，被玩家误认为杀毒软件杀错了。



金山反病毒工程师戴光剑解释说，如果杀毒软件将大量程序文件报为病毒，用户或者会注意到这是一个感染型的病毒；但是如果杀毒软件仅仅把网络游戏图标的程序报为病毒，文件路径还跟网游客户端程序一模一样，那么用户很可能认为这是误报，即使用户允许杀毒软件把这些文件清除，在无法运行网游的情况下，也很可能会认为是误杀。

金山毒霸反病毒监测中心最初收集到“酷狮子”系列木马时发现，文件名都含有“kulion”字符，出于对职业敏感，病毒分析员以此为关键字，在网络上进行了搜索，结果进一步揭开了“酷狮子”系列木马的神秘面纱，http://www.kulion.com/网站浮出水面。从该网站的信息来看，几乎可以肯定是该系列木马作者的网站，在网站中最显眼位置写有“专业定做，品质保证”的字样，而且还公然留下了QQ号码，嚣张程度可见一般。（如图2）

据了解，目前金山收集到的“酷狮子”系列木马变种达到10个之多，根据其盗号的游戏不同，可以分为5类，分别针对魔售世界、热血江湖、完美世界、武林外传和诛仙。金山表示会将该网站提交相关部门进行处理。

根据该系列木马的传播特点，金山毒霸反病毒监测中心及时进行了病毒库升级，金山毒霸用户只要升级到最新版本即可查杀。此外，由于“酷狮子”系列木马没有自保护功能，非毒霸用户只要找到文件便可以直接删除。以魔兽世界为例，下图是魔兽世界的客户端程序，一个已经被盗号木马替换，另外一个则是正常的。




如图（3），除了文件名和图标之外，正常的游戏客户端跟盗号木马还是很大区别的。例如文件大小方面，正常的是6.77M而木马则是26.2K，明显不是同一个数量级的。此外，正常的游戏客户端还有比较详细的描述，例如公司和文件版本，这些都是盗号木马所没有的。

通过文件夹选项作如图（4）的设置，便可以显示网游安装目录下的所有文件，找到被木马隐藏的正常客户端，改为原来的名字后便可以正常使用网游。值得一提的是，正常的游戏客户端程序的升级都有可能导致该盗号木马被清除，如果你发现网游目录下有两个正常的客户端程序，也请尽快修改你的游戏帐号密码，以防被盗。



附：酷狮子的承诺

本程序由酷狮子 http://www.kulion.com 免费发布 请在保证程序完整性的前提下自由传播

本程序为免费程序 有体积小 隐藏性好 过主动防御等特性 而且实现了智能判断 不会造成一般下载者不停下载造成机器缓慢的问题 欢迎大家使用 程序于 2007.6.5 日制作完成 日后如被杀可以联系本站

原文：http://hi.baidu.com/litiejun/blog/item/05438a1829ee2b0534fa414b.html

型仔阿细

上面的图片都不显示,看不到.不是毒霸真的误杀吗?现在误杀也不值得大惊小怪了.

walkingmu

一定要看了原帖才能显示图片
百度的图片不能外联的吧

[ 本帖最后由 walkingmu 于 2007-9-4 15:45 编辑 ]

wyqtc1988

百度个小气鬼

tracydk

图片都看不到啊

keleboy007

图片呢，这个病毒没有自我保护，看来只是作为一个宣传的病毒

叛逆天神

没有图。。。。。郁闷

jpzy

呵呵，酷狮子，还以为是国内市场再起硝烟了呢！
原来不是~！！

shuipao

我来可这个帖子的原因一样...

ps:不过这个木马比较狠..

jpzy

呵呵，我还见过替换QQ文件的木马呢！
木马运行后把自己复制到QQ的安装目录，并且改名为QQ.exe，并且把真正的QQ.exe改名，运行的时候先运行自己，再调用原来的QQ.exe，所以一般人根本发现不了！

跟这个病毒一样的道理！