玩家必看：近日网游盗号木马病毒播报

近日有一些网游盗号病毒特别值得注意，17173提醒广大玩家在玩网络游戏前,请一定要装好防火墙以及防木马病毒的监察软件和杀毒软件。

　　瑞星全球反病毒监测网近日盗号木马病毒播报：

　　魔域窃贼变种DN（Trojan.PSW.RocOnline.dn）

“魔域窃贼变种DN（Trojan.PSW.RocOnline.dn）”病毒：警惕程度★★★☆，木马病毒，通过网络传播，依赖系统：WIN9X/NT/2000/XP。

该病毒试图窃取“魔域”、“完美世界”和“浩方游戏平台”的账号密码，并会造成系统崩溃。

病毒进入用户电脑之后，会向系统目录释放名为“wsdtdtshrs.exe”的病毒文件，并试图关掉瑞星等杀毒软件的进程。在窃取用户的网游账号密码之后，病毒会自动把其发送给病毒作者。

该病毒由于编写存在缺陷，当中毒用户进入windows桌面的时候，会出现系统假死的现象（桌面会一片空白，图标全部消失），干扰用户正常使用电脑。

　　天堂木马变种NGC（Trojan.PSW.Lineage.ngc）

“天堂木马变种NGC（Trojan.PSW.Lineage.ngc）”病毒：警惕程度★★★，木马病毒，通过网络传播，依赖系统：WIN9X/NT/2000/XP。

“天堂木马变种NGC”是专门偷窃网络游戏“天堂”玩家信息的木马病毒，会窃取玩家的账号、密码、服务器等信息并发送给黑客。

病毒运行后将自身复制到操作系统Windows目录下，并修改注册表实现自启动。病毒会造成多种杀毒软件无法正常使用，同时修改本机系统配置文件，造成多个杀毒软件厂商的主页无法访问，使用户感染病毒的几率增加。同时病毒会窃取网络游戏“天堂”玩家的账号、密码、服务器等信息并发送给黑客。

传奇终结者变种MJD（Trojan.PSW.Lmir.mjd）

“传奇终结者变种MJD（Trojan.PSW.Lmir.mjd）”病毒：警惕程度★★★，木马病毒，通过网络传播，依赖系统：WIN9X/NT/2000/XP。

“传奇终结者变种MJD”是专门窃取网络游戏《传奇》的木马病毒，在后台运行，把窃取的网络游戏账号、密码等等都发送给病毒散布者。

病毒运行后，复制自身到系统目录中，修改注册表启动项，实现开机之后自启动。病毒会在后台悄悄运行，窃取《传奇》游戏玩家的用户名、密码、登陆服务器、用户所属区域等信息，并把这些资料发送给病毒散布者。

　　网络游戏木马变种ADR（Trojan.PSW.OnlineGames.adr）

“网络游戏木马变种ADR（Trojan.PSW.OnlineGames.adr）”病毒：警惕程度★★★，木马病毒，通过网络传播，依赖系统：WIN9X/NT/2000/XP。

“网络游戏木马变种ADR”病毒专门窃取网络游戏账号，可造成多种杀毒软件无法运行，增加用户感染病毒的风险。

病毒运行后将自身复制到Windows目录中，修改注册表实现自启动。病毒会中止多种杀毒软件的运行,造成它们无法使用。病毒会记录用户的键盘和鼠标操作，窃取网络游戏玩家的游戏账号和密码。

　　威金蠕虫变种RC（Worm.Viking.rc）

“威金蠕虫变种RC（Worm.Viking.rc）”病毒：警惕程度★★★☆，蠕虫病毒，通过感染文件、局域网以及其它病毒下载传播，依赖系统：WIN9X/NT/2000/XP。

该病毒集文件型病毒、蠕虫病毒、病毒下载器于一身，传播能力非常强。该病毒会破坏用户的一些软件，造成它们无法使用。

它会感染Windows可执行文件，并会查找局域网中的所有共享计算机，尝试猜解它们的密码，试图感染这些计算机。该病毒还会自动在后台下载并运行“QQ通行证”等其它病毒，窃取用户QQ及网络游戏的账号和密码并发送给黑客。由于该病毒在编写上存在一些问题，可造成一些用户的软件被破坏，无法使用。目前，不少杀毒软件仅能对染毒文件进行删除处理，造成用户的文件丢失。瑞星杀毒软件2007版可以清除掉染毒文件中的病毒，并将这些文件恢复成正常状态。

　　“鼠星”变种cs(Trojan.PSW.Maran.cs)

　　“鼠星”变种cs(Trojan.PSW.Maran.cs)，专门窃取各种网络游戏玩家的账号和密码等信息，并将窃取的信息发送到黑客指定的站点。近段时间，“天堂”、“仙境传说”、“热血江湖”等游戏玩家，一定要警惕该病毒。另外，“代理木马”变种ln(TrojanProxy.Agent.ln)，还可能利用被感染的计算机，大批转发垃圾邮件。

瑞星反病毒专家建议电脑用户采取以下措施预防该病毒：

1、建立良好的安全习惯，不打开可疑邮件和可疑网站；

　　2、很多病毒利用漏洞传播，一定要及时给系统打补丁；

3、安装专业的防毒软件升级到最新版本，并打开实时监控程序；

4、安装带有“木马墙”功能的个人防火墙软件，防止密码丢失。

5、为本机管理员帐号设置较为复杂的密码，预防病毒通过密码猜测进行传播。

6、登陆http://tool.ikaka.com下载并安装免费的瑞星卡卡3.2，并开启“IE防漏墙”功能，防止病毒通过IE漏洞侵入计算机。

如遇病毒，请拨打反病毒急救电话：010-82678800。能够上网的用户可以访问瑞星反病毒资讯网：http://www.rising.com.cn或登录

http://help.rising.com.cn使用在线专家门诊进行免费咨询。

江民近日盗号木马病毒播报

“网游大盗”变种dnu

病毒名称：Trojan/PSW.GamePass.dnu
　　中文名：“网游大盗”变种dnu
　　病毒长度：17408字节
　　病毒类型：木马
　　危害等级：★★
　　影响平台：Win9X/ME/NT/2000/XP/2003
　　Trojan/PSW.GamePass.dnu“网游大盗”变种dnu是“网游大盗”木马家族的最新变种之一，采用Delphi语言编写，并经过UPX工具加壳处理。“网游大盗”变种dnu运行后，在Windows目录下创建病毒文件。修改注册表，实现开机自启动。“网游大盗”变种dnu会盗取包括“传奇世界”、“魔兽世界”、“完美世界”、“征途”、“武林外传”等多款网游的帐户和密码，玩家计算机一旦中毒，就可能导致游戏帐号、装备等丢失，给玩家带来损失。

“蜜蜂贼”变种a

病毒名称：Trojan/PSW.Bee.a
　　中文名：“蜜蜂贼”变种a
　　病毒长度：变长
　　病毒类型：木马
　　危害等级：★
　　影响平台：Win9X/ME/NT/2000/XP/2003
　　Trojan/PSW.Bee.a“蜜蜂贼”变种a是一个盗取网络游戏“魔兽世界”玩家密码的木马程序。“蜜蜂贼”变种a运行后，在系统目录下创建病毒文件。修改注册表，实现开机自启。侦听黑客指令，将病毒文件注入到其它的进程中，在已开启的窗口搜索与输入“魔兽世界”用户帐号密码相关的主题，一经发现便开始记录键击，盗取网络游戏“魔兽世界”玩家帐号及其密码，并将密码等机密信息发送给木马作者。另外，“蜜蜂贼”变种a还可以终止某些与安全相关的进程，在被感染计算机上下载其它病毒文件。

“韩e游”变种if

病毒名称：Trojan/PSW.Hangame.if
　　中文名：“韩e游”变种if
　　病毒长度：230400字节
　　病毒类型：木马
　　危害等级：★
　　影响平台：Win9X/ME/NT/2000/XP/2003
　　Trojan/PSW.Hangame.if“韩e游”变种if是一个专门窃取网络游戏“传奇世界”的木马。“韩e游”变种if运行后，自我复制到%Windir%和%ProgramFiles%目录下。修改注册表，实现开机自启。在系统目录下创建文件htdll.dll，记录键盘操作，窃取“传奇世界”玩家帐户和密码，并发送到黑客指定站点，给玩家带来损失。

“传奇窃贼”变种gsh

病毒名称：Trojan/PSW.LMir.gsh
　　中文名：“传奇窃贼”变种gsh
　　病毒长度：可变
　　病毒类型：木马
　　危害等级：★★
　　影响平台：Win9X/ME/NT/2000/XP/2003
　　Trojan/PSW.LMir.gsh“传奇窃贼”变种gsh是“传奇窃贼”木马家族最新变种之一，由VC++工具编写，并经过WinUpack程序加壳处理。“传奇窃贼”变种gsh运行后，在临时文件夹下释放病毒文件wlzs.exe。修改注册表，实现开机自启动。在后台秘密监视用户打开的登陆框，当发现用户打开“传奇”等与网络游戏相关的登陆框时，就会记录键盘操作，盗取用户帐号和密码，并发送到黑客指定的信箱中，给网游玩家带来损失。

“网游大盗”变种crp

病毒名称：Trojan/PSW.GamePass.crp
　　中文名：“网游大盗”变种crp
　　病毒长度：49664字节
　　病毒类型：木马
　　危害等级：★★
　　影响平台：Win9X/ME/NT/2000/XP/2003
　　Trojan/PSW.GamePass.crp“网游大盗”变种crp是“网游大盗”木马家族最新变种之一，由Delphi工具编写。“网游大盗”变种crp运行后，在%WinDir%目录下释放病毒文件svchost.exe，大小为49664字节。修改注册表，实现开机自启动。“网游大盗”变种crp会盗取包括“传奇世界”、“魔兽世界”、“完美世界”、“征途”、“武林外传”等多款网游的帐户和密码，玩家计算机一旦中毒，就可能导致游戏帐号、装备等丢失，给玩家带来损失。

“武林大盗”变种r

病毒名称：Trojan/PSW.Wulin.r
　　中文名：“武林大盗”变种r
　　病毒长度：45056字节
　　病毒类型：木马
　　危害等级：★★
　　影响平台：Win9X/ME/NT/2000/XP/2003
　　Trojan/PSW.Wulin.r“武林大盗”变种r是“武林大盗”木马家族的最新变种之一，采用Delphi语言编写，并经过UPX工具加壳处理。

“武林大盗”变种r运行后，在%WinDir%\%System32%文件夹下释放病毒文件wls1.dll，文件大小为45056字节。将病毒文件注入到Explorer的进程中，隐藏自我，防止被查杀。在后台秘密监视用户打开的窗口，一旦发现用户打开网络游戏的登陆窗口，便会盗取包括“武林外传”等多款网络游戏玩家的帐号和密码，给玩家带来损失。

针对以上病毒，江民反病毒中心建议广大电脑用户：

1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。

2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。

3、江民杀毒软件的“系统监控”功能，从注册表、系统进程、内存、网络等多方面对各种操作行为进行主动防御，可以第一时间监控未知病毒入侵，全方位保护用户计算机系统安全。

4、“江民密保”可有效保护网上银行、支付平台、网上证券交易、网络游戏等账号密码，全面保护用户私密信息。

5、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp.

有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

金山近日盗号木马病毒播报

“魔域盗贼”变种MS（Win32.Troj.OnlineGames.ms）

魔域盗贼疯狂作案一日之内数百用户系统瘫痪

一名为“魔域盗贼”变种MS的网游盗号木马异常活跃，仅4月7日一天，金山毒霸客户服务中心就接到数百用户的求助电话。此变种除了盗取“魔域”帐号外，还可盗取“完美世界”和“浩方游戏平台”的账号密码，比之前一些变种更加险恶。

金山毒霸反病毒专家戴光剑表示，“魔域盗贼”变种MS（Win32.Troj.OnlineGames.ms）并非一普通的游戏盗号木马，它可用特殊的方法逃避杀毒软件的查杀，而且由于病毒本身存在一个缺陷，所以用户一旦中招，系统在启动过程中将无法显示桌面，致使用户无法看到桌面图标，而只能看到一个空白的桌面。

专家介绍，该病毒运行后，会把自己拷贝到系统目录中，并释放一个病毒文件C：WINDOWS＼system32＼wsttrs.dll(Win32.Troj.Onlinegames.nb.12288)，之后病毒体将自行删除。

用户一旦感染该病毒，病毒会寻找网络游戏“魔域”等的游戏进程，并使用钩子读取用户输入的游戏帐号与信息，把得到的信息通过wsttrs.dll文件以网站上传的方式发送到木马种植者事先指定的网站上去，使用户的游戏帐号丢失。

金山毒霸从5日开始就发现了该病毒的多个变种，而截止到目前，金山毒霸客户服务中心已接到数百用户的求助电话。针对该病毒的传播特点，金山毒霸反病毒中心及时进行了病毒样本分析，毒霸用户只要升级病毒库到2007.04.07.16，即可查杀该病毒目前所有变种。此外，对于非毒霸用户，金山毒霸反病毒工程师为您提供了一套手动清除方案，您可以根据方案中的清除方法彻底清除该病毒。

“魔域盗贼”变种MS的手动解决方案

1．在windowsXP及其以上系统中：
　　当无法进入桌面的时候，调出windows任务管理器（Ctrl+Alt+Delete调出），切换到进程标签，然后找到wsttrs.exe进程，选中后单击右键结束进程，既可正常显示桌面。

2．在windows2000及其它系统中：
　　需要进入带网络连接的安全模式，升级毒霸到最新版本（2007.04.07.16），对windows目录进行查毒，病毒查杀结束后，重启系统即可正常显示桌面。

3．当以上两种方案都不能成功，则有可能是该病毒的最新变种，应进入安全模式，打开注册表编辑器，定位到HKEY_LOCAL_MACHINE＼SoftWareMicrosoft＼Windows＼CurrentVersion＼RunOnce（注意是RunOnce不是Run）
　　查找启动程序位于系统盘windows或者系统盘WinNT文件夹下的启动项。
　　例如：wstthrsc：windowswsttrs.exe
　　或者wstthrsc：winntwsttrs.exe
　　删除改键值，并向金山毒霸提交该文件，重启系统既可。

“黑种子”变种A(Worm.BlackSeeder.a)

“黑种子”变种A(Worm.BlackSeeder.a)是一个盗取网络游戏“魔兽世界”的木马病毒。

病毒特征：该病毒跟一般的文件感染型病毒相似,会感染电脑上的所有可执行文件跟脚本文件,造成保存在电脑上数据和程序被损坏,此外,它还会终止系统里的多个安全软件的监控进程和系统服务,导致电脑的安全性能下降,容易受到其他病毒的侵害,电脑系统混乱等现象。

发作症状：该病毒运行后，会释放0005486A.exe和0005486A.DAT病毒文件。在每个系统盘下生成autorun.inf病毒文件,使其可以自动被激活,寻找并终止vstskmgr.exe和ravmond.exe等大量的安全软件的进程。

“传奇大盗”变种PC(Win32.Troj.Lmir.pc)

病毒特征：该病毒是“魔兽大盗”病毒的恶意改造版，跟之前的版本的恶意行为相似，会潜伏在用户的电脑系统里，伺机获取网游“魔兽世界”的登录窗口，记录帐号和密码等有效信息，并将窃取的信息通过电子邮箱发送给木马种植者，造成用户的虚拟财产的丢失。

发作症状：该病毒运行后,会释放Saga.sys和svchpst.exe病毒文件。修改注册表，实现随开机自动启动。获取窗口信息，将盗取的信息发送到ad***wow@126.com邮箱。

“传奇大盗”变种WYY(Win32.Troj.PSWLineage.wyy)

“传奇大盗”变种WYY(Win32.Troj.PSWLineage.wyy)是一个盗取网络游戏“传奇”帐号的木马病毒。

病毒特征：该病毒是“传奇大盗”病毒的恶意改造版,它跟之前的版本相似,都是针对网络游戏“传奇”的用户帐号和密码的恶意木马程序。它会潜伏在电脑系统中,伺机获取网游“传奇”的用户登录窗口,并将窃取的有效信息发送给木马种植者,导致用户的虚拟财产的损失。此外，它还会终止大量的安全软件的监控进程，使电脑的安全性能降低，容易受到其他病毒的侵害。

发作症状：该病毒运行后,会释放woscnty.exe和vbarun.dll病毒文件。修改注册表，实现随开机自动启动。强行结束KVSrvXP和KWatchSvc等多个安全软件的保护进程。

“梦幻西游窃贼”(Win32.PSWTroj.Agent)

“梦幻西游窃贼”(Win32.PSWTroj.Agent)是一个盗取网络游戏“梦幻西游”的木马病毒。

病毒特征：该病毒会潜伏在用户的电脑系统里,伺机获取网游“梦幻西游”的用户登录窗口,并记录键盘和鼠标操作,将窃取的信息发送给木马种植者,造成用户的网络的虚拟财产的损失。

发作症状：该病毒运行后，会释放winform.exe和winform.dll病毒文件。修改注册表，实现随开机自动启动。此外，它还能躲避某杀毒软件的监控程序。

金山反病毒工程师建议：

1.最好安装专业的杀毒软件进行全面监控。建议用户安装反病毒软件防止日益增多的病毒，用户在安装反病毒软件之后，应该经常进行升级、将一些主要监控经常打开（如邮件监控）、内存监控等，遇到问题要上报，这样才能真正保障计算机的安全。

2.请各位网游玩家在玩游戏的同时，也请您做好系统的安全防御工作，避免因病毒的危害而影响了您玩游戏的兴致，反病毒专家建议您经常关注安全网站，定时升级病毒库，并建立良好的安全习惯。

金山毒霸反病毒应急中心及时进行了病毒库更新，升级毒霸到2007年04月08日的病毒库即可查杀以上病毒；如未安装金山毒霸，可登录http://www.duba.net免费下载最新版金山毒霸2007或使用金山毒霸在线杀毒来防止病毒入侵，拨打金山毒霸反病毒急救电话：010－82331816反病毒专家将为您提供帮助。