04.06病毒预警：“网游帐号贪吃蛇”盗窃诸多网游帐号

　　“不死之身QQ贼”（Win32.PSWTroj.OnlineGames.qi.106617），这是一个QQ盗号木马。它会通过消息监视的方法盗取QQ号码，并不断地自我修复，防止被用户查杀。

　　“网游帐号贪吃蛇”（Win32.Troj.GamesHackT.gu.94304），这是一个作案对象极广的网游盗号木马。它会根据电脑上安装游戏的不同，释放不同的DLL文件和配置文件来注入进程，盗取帐号和密码。

　　一、“不死之身QQ贼”（Win32.PSWTroj.OnlineGames.qi.106617） 威胁级别：★

　　这个盗号木马具有一定的自我保护能力，它采取不断恢复自身文件的方式，躲避用户和安全软件的查杀。病毒进入系统后，在系统盘的%Program Files%Internet ExplorerPLUGINS目录下释放出两个病毒文件，一个是NewSys55.Sys，一个是Nv_Win3s.Jmp。其中前者是病毒主文件，会被写入系统注册表，实现开机自启动。而后者是经过伪装的病毒副本，只要NewSys55.Sys遭到查杀，Nv_Win3s.Jmp就会将它立即恢复，顽固地赖在电脑中。

　　经毒霸反病毒工程师分析，该病毒顺利运行起来后，每隔7分钟就启动一次下载程序，从病毒作者指定的地址http://b**g.w**d.cn/images/下载一份含毒图片到系统临时目录下运行，给用户电脑带来无法估计的更大威胁。同时，它通过消息监视的方法，记录下用户启动QQ聊天工具或QQ游戏时的键盘操作，从中盗取用户的QQ帐号密码，并将它们发送给病毒作者指定的多个远程地址。

　　QQ盗号木马是病毒黑色产业链中比较重要的一环，病毒团伙利用QQ盗号木马获得他人的QQ号，然后向这些号码中的好友发送含毒链接与广告页面，将病毒推广开来，造成大规模影响。如果发现QQ等聊天工具的帐号被盗，应尽快与运营商和好友联系，以尽可能减少和挽回损失。

　　关于该病毒的详细分析报告，可在金山病毒大百科中查阅：http://vi.duba.net/virus/win32-pswtroj-onlinegames-qi-106617-50513.html

　　二、“网游帐号贪吃蛇”（Win32.Troj.GamesHackT.gu.94304） 威胁级别：★★

　　下面这个病毒是毒霸反病毒工程师们最近来所见过的最贪心的盗号木马。它的技术含量并不高，却附带有数十个DLL文件，这些文件涵盖了所有目前在网络上流行的游戏。也就是说，只要它能在你电脑中顺利运行，你的网游帐号就会偷个精光。

　　病毒进入电脑后，在系统盘的%WINDOWS%system32目录下轮番释放出数十种DLL文件，以及和 DLL 文件同名的 .CFG 格式的病毒配置文件。接着，病毒将这些文件的数据写入系统注册表，实现随系统启动而自动运行。

　　如果能运行起来，病毒DLL文件就不断注入到其它进程，枚举窗口名，搜索它所针对的游戏进程。一旦发现目标，便通过内存读写的方式窃取玩家的账号密保等信息，并将其发送到木马作者指定的多个远程服务器。作案结束或而在电脑中没发现DLL文件针对的游戏，它就会再释放出另一个DLL文件，再次进行搜索。

　　经毒霸反病毒工程师的分析，该木马会盗取《剑侠情缘》、《天龙八部》、《魔域》、《卓越之剑》、《征途》、《完美国际》、《QQ 自由幻想》等几十种热门游戏。

　　关于该病毒的详细分析报告，可在金山病毒大百科中查阅：http://vi.duba.net/virus/win32-troj-gameshackt-gu-94304-50514.html

　　金山反病毒工程师建议

　　1.最好安装专业的杀毒软件进行全面监控，防范日益增多的病毒。用户在安装反病毒软件之后，应将一些主要监控经常打开（如邮件监控、内存监控等）、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。

　　2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，及时升级杀毒软件，开启防火墙以及实时监控等功能，切断病毒传播的途径，不给病毒以可乘之机。

　　金山毒霸反病毒应急中心及时进行了病毒库更新，升级毒霸到2008年4月6的病毒库即可查杀以上病毒；如未安装金山毒霸，可以登录http://www.duba.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816，反病毒专家将为您提供帮助。