警惕瀏覽ebay　網銀劫匪窺視你的網銀現錢

【賽迪網-IT技術報道】「夢幻西遊盜號者17408」（PE.Win32.PSWTroj.OnLineGames.17408），這是一個盜號木馬程序。該程序會盜取網絡遊戲《夢幻西遊》的賬號信息，並下載其它病毒至受害電腦上運行。

「網銀劫匪183808」（Win32.Expiro.b.183808），這是一個盜竊購物網站賬號以及網銀密碼的木馬。它會監視用戶瀏覽記錄，如果發現用戶當前正在瀏覽ebay等購物網站以及網上銀行，就會展開鍵盤記錄，盜取用戶輸入的敏感信息。

一、「夢幻西遊盜號者17408」（PE.Win32.PSWTroj.OnLineGames.17408） 威脅級別：★

這是一個「常規」的盜號木馬，不具備對抗安全軟體的能力，但它會下載其它木馬到電腦中充當幫兇，盡可能多地「搾取」用戶電腦中的敏感信息。

病毒在系統中釋放出大量的病毒文件，主要隱藏在%WINDOWS%/Temp/目錄和%WINDOWS%/system32/目錄下。文件釋放完畢後，病毒篡改系統註冊表，創建大量的病毒啟動項，實現開機自啟動。

接著，病毒注入系統進程services.exe中，並加載釋放出的病毒文件 MSDEG32.DLL 和mhsha1.dat，通過搜索《夢幻西遊》的進程「MY.EXE」、查找名字為「夢幻西遊」的遊戲窗口的方法找到遊戲主程序。一旦發現目標，病毒就會通過記憶體讀寫的方式竊取玩家的賬號信息，並將其發送到http://www.r****wd.com/c**/、http://www.5****1.com等多個由木馬作者指定的遠程伺服器。

如果以為它偷完東西就完事，那可錯了。該病毒還會連接遠程伺服器，下載其它木馬文件安裝至本地計算機，試圖盜取更多的敏感資料。不過只要安裝了毒霸，就不用擔心它的這些小動作了。

二、「網銀劫匪183808」（Win32.Expiro.b.183808） 威脅級別：★★

盜號木馬作者不會僅僅滿足於盜竊網游賬號，只要有足夠的利潤驅動，他們會更願意直接對你的銀行賬號下手，畢竟銀行賬號裡的是現錢。從毒霸反病毒工程師統計到的資料看，下面這個盜號木馬和它的一系列變種在近期有較高的作案可能。

這個木馬是利用感染正常文件來進行傳播的。如果用戶運行被感染的文件，病毒就會被激活，開始搜尋正常文件。它會先將正常文件複製一份，以.ivr結尾，感染完畢後再將其刪除。被感染的文件，會被加上.data 、.text、.bss、.data等後綴。

感染，只是為了不斷擴張自己的傳播範圍，該病毒真正的盜號行為是在記憶體中進行。它被激活後，會不斷搜索用戶當前的瀏覽記錄，如果監視到用戶正在瀏覽ebay等購物網站及網銀，就會展開鍵盤記錄，記下用戶敲入的賬號、密碼等敏感信息，然後發送到木馬作者指定的地址。

金山反病毒工程師建議

1.最好安裝專業的殺毒軟體進行全面監控，防範日益增多的病毒。用戶在安裝反病毒軟體之後，應將一些主要監控經常打開（如郵件監控、記憶體監控等）、經常進行升級、遇到問題要上報，這樣才能真正保障計算機的安全。

2.由於玩網絡遊戲、利用QQ聊天的用戶數量逐漸增加，所以各類盜號木馬必將隨之增多，建議用戶一定要養成良好的網絡使用習慣，及時升級殺毒軟體，開啟防火牆以及實時監控等功能，切斷病毒傳播的途徑，不給病毒以可乘之機。

(