“PE网游盗号器20557”（PE.OnLineGames.fx.20557），这是一个网游盗号木马。它能同时盗取《征途》、《彩虹岛》、《传奇世界》、《惊天动地》等网游，以及“浩方对战平台”和QQ聊天工具的帐号密码。

　　“奇侠盗号木马232960”（Win32.Troj.OnlienGamesT.ny.232960），这是个盗号木马。针对目标是网络游戏《奇侠》的帐号密码信息。病毒为对抗杀毒软件，设置有一些无用字符串，试图干扰查杀。

　　一、“PE网游盗号器20557”（PE.OnLineGames.fx.20557）  威胁级别：★

　　该盗号木马进入系统后，会首先取得用户级的权限，让自己能顺利执行各种操作。然后，它就创建新线程，监视系统中是否安装的有杀毒软件卡巴斯基，如有，则模拟用户鼠标点击，关闭卡巴斯基可能弹出的安全警告窗口。

　　随后，病毒释放出自己的文件upxdnd.exe到%WINDOWS%目录下，并将其添加到注册表启动项，让自己实现开机自启动。同时，用自己的生成文件替换掉WINDOWS\system32\目录下的upxdnd.dll。

　　当电脑再次启动时，病毒就会运行起来，注入系统桌面进程explorer.exe中，实现隐蔽运行，并不断搜索《征途》、《彩虹岛》、《传奇世界》、《惊天动地》等网游，以及“浩方对战平台”和QQ聊天工具的进程，发现后，分别采取不同的办法盗取其帐号信息。

　　如果盗窃成功，病毒就把赃物发送到病毒作者指定的地址，造成用户虚拟财产的损失。

　　关于该病毒的详细分析报告，可在金山病毒大百科中查阅 http://vi.duba.net/virus/pe-onlinegames-fx-20557-50820.html

　　二、“奇侠盗号木马232960”（Win32.Troj.OnlienGamesT.ny.232960）  威胁级别：★

　　此毒是一个盗号木马的组成部分。该木马进入用户系统后，就释放出若干dll格式文件，注入桌面进程中，搜寻多种网络游戏。此毒负责的偷盗是《奇侠》的帐号密码。

　　当它被释放出来，就新建线程加载自身，然后调用木马自身的输出函数。这个函数会设置键盘消息，鼠标消息等钩子，全面监视系统。

　　如果发现用户启动了《奇侠》游戏的进程，该毒就记录下用户输入的帐号和密码，然后在后台悄悄建立远程连接，将这些信息发送到病毒作者指定的远程地址。

　　病毒作者为干扰杀毒软件，设置了一些混乱的字符代码，不过毒霸依然可以查杀此毒。

　　关于该病毒的详细分析报告，可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-troj-onliengamest-ny-232960-50821.html

　　金山反病毒工程师建议

　　1.最好安装专业的杀毒软件进行全面监控，防范日益增多的病毒。用户在安装反病毒软件之后，应将一些主要监控经常打开（如邮件监控、内存监控等）、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。

　　2.由于玩网络游戏、利用QQ等即时聊天工具交流的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，如不要登录不良网站、不要进行非法下载等，切断病毒传播的途径，不给病毒以可乘之机。

　　金山毒霸反病毒应急中心及时进行了病毒库更新，升级毒霸到2008年7月21的病毒库即可查杀以上病毒；如未安装金山毒霸，可以登录http://www.duba.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816，反病毒专家将为您提供帮助。

盗号木马, 网游盗号木马, 预警

此条发布在 星期一, 07月 21st, 2008 at 8:53 am 安全播报, 病毒预警. 您可以通过 RSS 2.0 获得最新评论. 您可以到文章末尾留言。