提醒玩家：近日网游盗号木马病毒播报

17173提醒广大玩家朋友在玩网络游戏前，请务必装好防火墙以及防木马病毒的监察软件和杀毒软件，并及时升级，以免账号丢失。以下是近日最新出现的网游盗号病毒：

“网游盗号木马78089”（Win32.PSWTroj.OnLineGames.78089） 威胁级别：★

这个盗号木马近来传播趋势较高。毒霸反病毒工程师发现，该毒近来出现大量变种，可能是病毒作者利用自动生成工具批量生成的原因，值得关注。

文件进入系统后，将两个病毒文件释放到系统盘下，分别为%WINDOWS%\下的huifitc.exe，以及%WINDOWS%\system32\目录下的huifitc.dll。其中huifitc.exe是病毒的主文件，会被注入系统注册表，以实现病毒的开机自启动。而huifitc.dll用于执行盗号行为。

当顺利运行起来，病毒就注入系统桌面进程explorer.exe，搜索网游《烽火之旅》、《魔兽世界》，以及“游戏茶苑”，发现后注入其中。如注入成功，就读取帐号和密码，发送到病毒作者指定的地址http:/ /www.ck8***6.com，给用户造成虚拟财产的损失。http://vi.duba.net/virus/win32-pswtroj-onlinegames-78089-50619.html

“冒险岛盗号者107664”（Win32.Troj.OnlineGameT.am.107664） 威胁级别：★

此盗号木马利用消息钩子来盗取用户的游戏帐号。所谓的消息钩子，就是在用户与游戏服务器的通讯信息之间建立监视，从其中筛选出帐号与密码信息。

病毒在进入系统后会释放出病毒文件fdght.dll、fjyjy.cfg、fjyjy.dll，它们的相关数据会被添加到注册表启动项中，使病毒实现开机自启动。文件的目录是%WINDOWS%\system32\，习惯手动查杀的用户，注意需将这几个文件删除。

最后，病毒搜寻《冒险岛oline》游戏进程，并将文件注入其中，盗取帐号，然后把赃物通过网页提交的方式发送到http://www.******.cn/911qj_tx/200/post.asp这个由病毒作者指定的网址。

“键盘记录员变种112243”（Win32.PSWTroj.OnlineGames.mo.112243） 威胁级别：★

这个盗号木马是“键盘记录员”的一个相关变种。它的目标依然是任何输入电脑的数据。此病毒和它的一系列变种近来传播趋势比较高，目前已经影响到日本和东南亚的一些电脑用户。毒霸反病毒工程师认为，这可能与病毒制作集团故意扩大该病毒传播范围有关。

木马在系统中释放完文件后，会修改SSDT(系统服务调度表)，从而解除具有主动防御功能的杀毒软件的武装。然后，它修改注册表中的相关数据，把病毒文件属性设置为“系统”、“隐藏”和“只读”，并将系统文件的显示模式锁定为隐藏，让用户无法发现它的文件。

接下来，和以前的版本一样，病毒会监视用户的鼠标、键盘操作，记录下用户操作电脑时输入的各种信息。每隔一段时间，就将这些偷到的信息加密，以邮件的形式通过SMTP通信协议和网页收信空间发送给木马作者。所谓的SMTP，是一种可以免除验证的通讯方式，能为WINDOWS系统用户之间的通讯提供便利，但也因此而被一些病毒作者所利用。

由于是采取完整的键盘记录，无论任何国家、地区，不论是商用电脑还是个人电脑，只要用户在中毒电脑上输入信息，都会被病毒作者所掌握。

“网游盗号木马65697”（Win32.Troj.OnlineGameT.bd.65697） 威胁级别：★

针对网游的盗号木马依然是目前流行木马中最为常见的部分。此篇预警播报中的病毒，就是个盗号木马，它的目标是《大话西游》、《完美世界》、QQ即时聊天工具和QQ游戏。

病毒进入电脑后，在%WINDOWS%\system32\目录下释放出病毒文件DbgHlp32.exe和DbgHlp32.dll，其中DbgHlp32.exe是病毒主文件，会被写入系统注册表的启动项，让病毒实现开机自动启动。

接着，病毒循环查找是否存在安全软件的通知或者是警告窗口，如果发现则发送消息关闭它。如果检测到《大话西游》、《完美世界》、QQ即时聊天工具和QQ游戏的进程，则通过读取相关进程内存的方式盗取帐号信息，并发送到病毒作者指定的远程地址。

“网游盗号核桃69805”（Win23.PSWTroj.OnLineGames.69805） 威胁级别：★

这个病毒经过了FSG2.0加壳技术的处理，试图以此躲避安全软件对它的查杀，不过毒霸依然彻底清除它。

病毒进入电脑，释放完文件后，会自我删除当初的原始文件，让用户难以发现它。不过，习惯手动杀毒的用户，依然可以在系统盘的%WINDOWS%目录下找到它的病毒文件ticisms.exe。这是它的主文件，会被写入注册表启动项，达到开机自启动之目的。

同时，病毒释放出执行盗号工作的文件ticisms.dll和giigeq.dll(此文件名是随机6位字母)到%WINDOWS%\system32\下，注入系统桌面进程explorer.exe，查找当前系统内是否存在《QQ自由幻想》、《魔兽世界》、《游戏茶苑》等网络游戏以及游戏平台，如有，则读取游戏内存中的帐号和密码信息，将它们发送到http://www.ck***66.com/wow5566/lin111.asp这个病毒作者指定的地址。

“热血江湖盗号木马15981”（Win32.Hack.UpackT.a.15981） 威胁级别：★

这个盗号木马的目标是网络游戏《热血江湖》。它的作案原理并不复杂，但近来传播趋势有所增高，毒霸反病毒工程师认为这是有人在故意传播该毒。

木马会在电脑系统中释放出多个病毒文件，分别是%WINDOWS%\system32\目录下的msepion.sys、xjxr.cfg、xjxr.dll，以及%WINDOWS%\system32\drivers\目录下的msyecp.sys。

当病毒开始运行，它就把xjxr.dll文件加载到系统进程当中，查找并通过读取内存的方式来盗取网络游戏《热血江湖》的账号和密码，然后把盗取到的账号和密码通过网页提交的形式发送到病毒作者指定的网址http://www.******.cn/yblin.asp。http://vi.duba.net/virus/win32-hack-upackt-15981-50608.html

来源：金山毒霸