提醒玩家：近日网游盗号木马病毒播报

17173提醒广大玩家朋友在玩网络游戏前，请务必装好防火墙以及防木马病毒的监察软件和杀毒软件，并及时升级，以免账号丢失。以下是近日最新出现的网游盗号病毒：

“完美小偷69897”（Win32.Troj.OnlineGameT.nf.69897） 威胁级别：★

网游盗号木马依旧层出不穷，这个病毒就是一个网游盗号木马。它在进入系统后，会将自己的病毒文件释放到系统盘中，分别是%WINDOWS%目录下的tciocp64.exe，以及%WINDOWS%\system32\目录下的tciocp64.dll。其中tciocp64.exe是病毒主文件，病毒会将它的相关数据写入系统注册表，启动项，以便达到开机自启动之目的，而tciocp64.dll是用来执行盗号的文件。

病毒将tciocp64.dll注入系统进程后，搜索是否安装得有网络游戏《完美世界》，如有，则建立消息监视，从用户与游戏服务器之间的通讯信息中过滤出游戏账号和密码，然后把它们通过网页提交的方式发送到http://www.*******.cn/tIyn***jhg/pasnt.asp这个由病毒作者安排好的网址中，给用户造成虚拟财产的损失。

毒霸反病毒工程师还发现，该病毒具有自我删除功能。在运行完毕后，它就删除自身原始文件，使得用户无法发现系统中出现了多余的文件。

“网游盗号木马397312”（Win32.Troj.vaklik.397312） 威胁级别：★

这个下载器比较“聪明”，它根据用户电脑上安装游戏的不同，来下载相应的盗号木马，从而提高作案成功率。

病毒在进入系统后，会枚举当前系统内进程，当发现指定安全工具进程，便强行结束这些进程，该病毒的黑名单中包含了主流的多款杀毒软件，但经毒霸反病毒工程师检查，由于技术含量不高，病毒的这一攻击无法成功。

同时，病毒创建线程监视系统窗口，如果发现杀毒软件弹出提示窗口，通过发送关闭消息和模拟鼠标点击来使杀软放行。

习惯手动查杀的用户，可在系统%windows%\Fonts\目录下找到病毒释放的文件codoor0.dll。该文件创建时间设置的和系统文件explorer.exe一致，以隐藏自身。文件还会被用来在注入explorer.exe进程，监视系统内的游戏进程，将信息记录到%WINDOWS%\system32\目录下的game.ini文件中。

然后，病毒连接病毒作者指定的服务器，上传游戏信息，根据游戏进程的不同，服务器会提供下载相应的盗号木马，执行盗号行为。

“完美世界盗号木马98304”（Win32.RiskWare.AgentT.m.98304） 威胁级别：★

这个盗号木马在执行盗号之前，会先搜索杀入软件卡巴斯基和瑞星的进程，将它们的主动防御提示关闭，使得它们即便探测到系统受到入侵，也无法向用户报告。

接着，病毒删除自己的原始文件，销毁证据，让用户不易发现电脑里出现多余的文件。同时，它注入系统桌面进程exrplorer.exe，搜寻网络游戏《完美世界》的进程，注入其中，读取游戏内存，从中获取游戏帐号和密码，并发给病毒作者，给用户带来虚拟财产的损失。

习惯手动杀毒的用户，可在系统盘中找到病毒释放出的两个文件，分别为%WINDOWS%目录下的cmdbcs.exe，以及%WINDOWS%system32\目录下的cmdbcs.dll，前者是病毒主文件，会被写入注册表启动项，使病毒实现开机自启动。而后者是用来注入进程，执行盗号的文件。

来源：金山毒霸