盗号木马针对台湾用户盗取游戏帐号

"网游盗号者327680"(Win32.Troj.Delf.327680)这是一个网游盗号木马，并且会在系统留下后门，供黑客对感染机器上的信息进行盗取。该木马运行后，在系统盘释放木马文件，并添加到系统服务设置为自动启动。劫持TCP数据，盗取玩家的密码账号等网游信息，并执行破解线程，对拦截的数据包进行破解。通过控TCP连接将盗取信息发送到远程主机。

"盗号者185856"(Win32.PSWTroj.OnLineGames.185856)这是一个盗号木马。主要针对台湾用户，会盗窃雅虎通、MSN及众多台湾知名游戏站点和网络游戏账号，并将获取的信息提交给指定的远程服务器上。

一、"网游盗号者327680"(Win32.Troj.Delf.327680) 威胁级别：★

1.木马运行后，产生以下两个名称具有伪装性质的病毒文件

　　%windows%\svchost.exe %system32%\kernl32.exe

2.拦截TCP数据，截获用户游戏信息，并在后台发送给控制端。

3.监听网络：kernl32.exe建立到远程主机的连接，svchost.exe会创建独立线程对端口数据进行监听，并且接受控制端的指令，根据不同的指令消息，来进行盗取用户网游信息。

二、"盗号者185856"(Win32.PSWTroj.OnLineGames.185856) 威胁级别：★

1.病毒运行后，会删除自身，并产生以下病毒文件

C:\WINDOWS\Debug\F01A4ACBB854.exe C:\WINDOWS\Debug\F01A4ACBB854.dll

2.该木马启动后会在后台监视点击运行的程序，窃取用户正在登录的“MSN”、“雅虎通”、“冒险岛(MapleStory)”、“罗汉(ROHAN)Online”、“天堂”、“R2”、“戏谷”、“黄易群侠传”等即时通讯和网络游戏账号。

3.木马会监视用户的浏览器记录用户在登录“雅虎奇摩”、“游戏橘子(gamania)”、“巴哈姆特电玩资讯站(gamer)”、“98play”、“魔兽游戏台湾官方(wowtaiwan)”、“FZG官方站”、“游戏基地(gamebase)”等台湾知名站点时的用户名、密码、身份证号、机器名、IP地址等信息。

4.该木马会自动关闭部分反病毒软件弹出的警告框。

金山反病毒工程师建议

1.最好安装专业的杀毒软件进行全面监控。建议用户安装反病毒软件防止日益增多的病毒，用户在安装反病毒软件之后，应该经常进行升级、将一些主要监控经常打开（如邮件监控）、内存监控等，遇到问题要上报， 这样才能真正保障计算机的安全。

2.玩网络游戏、利用QQ聊天的用户会有所增多，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，及时升级杀毒软件，开启防火墙以及实时监控等功能，切断病毒传播的途径，不给病毒以可乘之机。