大胃王盗号者吞吃网络游戏账号

“热血江湖盗号者94304”（Win32.Troj.GamesHackT.gu.94304），这是一个针对网络游戏《热血江湖》的盗号木马。它由一个病毒生成器自动生成，通过迫使用户重新登录游戏的方法，暗中记录用户输入的账号和密码。此外，它还具有一定的对抗能力，会破坏部分安全软件的正常运行。

“大胃王盗号者31500”（PE.Win32.PSWTroj.OnLineGames.ai.57344），这是一个可同时盗取多款网游账号的盗号木马。它通过将DLL文件注入游戏进程后读取内存的方式作案，作案对象是所有含有“游戏”字样的窗口的游戏进程。

一、“热血江湖盗号者94304”（Win32.Troj.GamesHackT.gu.94304） 威胁级别：★

病毒作者为提高病毒制作的效率，通常都会使用自动生成器。完全一样的一段病毒代码，只要稍微修改几个进程名称，就能得到多个病毒。我们在3月27日的病毒预警播报中，曾报道过一个英文名称与本篇预警中的病毒相同的“天龙笨贼”，它们两个很明显就是由同一个病毒生成器制作出来的同名变种。

这个木马通过悄悄记录用户输入数据的方式盗取网络游戏《热血江湖》密码。它用户系统中运行起来后，会通过查找窗口类名与窗口标题名的方法，找到《热血江湖》的游戏进程Client.exe，然后检验进程的命令行，确认是否真的为作案目标。如果确定，它就会立即关闭游戏进程。

大多数正在玩着游戏的用户，遇到这种情况，一定是马上重新登录游戏。但这样一来，就正好中了病毒作者的全套。他的目的就是趁用户再次登录时，记录下用户输入的账号和密码。

为阻止安全软件查杀，病毒在进入电脑后会抢先关闭360安全卫士、QQ医生、killer_Gdwli32.exe专杀工具、AntiArp.exe防火墙等安全辅助软件，它的某些变种还会试图攻击毒霸，不过经检验，对毒霸无效。习惯手动查杀的用户，可在系统盘的%WINDOWS%\system32\目录下找到病毒文件xjxr.dll、xjxr.cfg，以及mseion.sys。

二、“大胃王盗号者57344”（PE.Win32.PSWTroj.OnLineGames.ai.57344） 威胁级别：★

这个盗号木马的作案目标非常之广，所有在进程窗口中包含有“游戏”字样的网络游戏，都是它的作案对象，只要它能在用户电脑中顺利运行起来，便可以如同大胃王一般将用户电脑中的游戏账号悉数吞吃。

病毒在进入系统后立即在系统盘中释放出两个病毒文件，分别为%WINDOWS%\目录下的winform.exe和%WINDOWS%\temp\目录下的winform.dll。其中winform.exe是病毒的主文件，它的相关数据会被写入系统注册表，以实现开机自启动。而winform.dll则负责注入系统桌面进程，在其中查找进程窗口中带有“游戏”字样的程序，如果发现，就注入游戏的内存空间，读取账号和密码数据。习惯手动查杀的用户，请留意这两个文件，只要删除它们，再清理干净注册表，就能清除该毒了。

作案成功后，账号信息会被发送到病毒作者指定的地址，给用户造成虚拟财产的损失。不过由于技术含量不高，大部分安全软件都可以查杀它。不过，由于此类病毒近日出现频率较高，因此发出预警，向广大用户作为通报。

金山反病毒工程师建议

1.最好安装专业的杀毒软件进行全面监控，防范日益增多的病毒。用户在安装反病毒软件之后，应将一些主要监控经常打开（如邮件监控、内存监控等）、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。

2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，及时升级杀毒软件，开启防火墙以及实时监控等功能，切断病毒传播的途径，不给病毒以可乘之机。