木馬盜取QQ號碼　實現自身進行快速傳播

【賽迪網-IT技術報道】「熱血江湖盜號木馬23040」（Win32.Troj.PswGame.mc.23040），這是一個針對網絡遊戲《熱血江湖》的盜號木馬。它會關閉安全軟體的提示窗口，然後注入系統桌面進程，查找並盜取遊戲賬號，發送至指定的接收網址。

「QQ隱身盜號者48250」（Win32.Troj.OnlineGamesT.vx.48250），這是一個盜號木馬程序。該木馬程序會盜取QQ即時聊天工具和QQ遊戲的賬戶信息，並將這些信息發送至木馬種植者指定的網址。

一、「熱血江湖盜號木馬23040」（Win32.Troj.PswGame.mc.23040） 威脅級別：★

與這一段時間以來造成巨大影響的磁碟機、機器狗等下載器相比，傳統的單一盜號木馬已顯得毫無技術性可言，不過這不代表對它們就可以放鬆警惕。毒霸反病毒工程師們不止一次地發出過警告：對抗殺軟已成為許多傳統木馬的必修課。

這個盜號木馬的犯罪對象是《熱血江湖》。病毒作者針對殺毒軟體卡巴斯基和瑞星，賦予了它一定的對抗能力。病毒進入電腦後，創建線程查找卡巴斯基和瑞星的監視警告窗口。如果找到，則模擬鼠標點擊「允許」和「跳過」按鈕操作。

同時，它釋放文件rxso.exe和rxso0.dll到系統臨時目錄，將rxso.exe的資料寫入註冊表啟動項，實現開機自啟動。並在運行起來後將rxso.dll注入遊戲，讀取賬號與密碼，發送到http://www.661***69.com/rx 這個由病毒作者安排的郵箱中，給用戶造成虛擬財產的損失。

二、「QQ隱身盜號者48250」（Win32.Troj.OnlineGamesT.vx.48250） 威脅級別：★

盜取即時通訊軟體，是目前眾多木馬傳播中重要的一環。通過偷來的QQ、MSN等即時通訊軟體，病毒作者可以向被盜用戶的好友發送大量含有掛馬網址、含毒文件等資料，出於對好友的信任，大多數用戶會毫不猶豫地點擊鏈接或接收文件。這樣依賴，木馬就實現了快速的傳播。

毒霸反病毒工程師日前分析的這個病毒，就是個盜取QQ號的木馬。該木馬程序搜索VerCLsId.exe、explorer.exe等多個系統進程，注入其中，利用它們的空間運行自己，實現隱蔽作案。接著，它查找系統中是否存在QQ的進程qq.exe，如果有，則監視窗口QQ號和密碼的輸入框，進程中讀取相關賬號信息。

同時，該木馬程度會搜集用戶信息，如用戶名、計算機名等，將它們和偷到的QQ號一起，以指定的格式發送至病毒作者指定的遠程地址http://f**eid.*0.5**ns.com/bobo2/up2.asp。

病毒作者掌握QQ號後，可能會賣掉吉利的號碼，然後將其它號碼用作木馬傳播。如果發現自己的QQ號被盜，大家一定要立即通知好友注意，並向騰訊報告，以盡可能挽回和減少損失。

金山反病毒工程師建議

1.最好安裝專業的殺毒軟體進行全面監控，防範日益增多的病毒。用戶在安裝反病毒軟體之後，應將一些主要監控經常打開（如郵件監控、記憶體監控等）、經常進行升級、遇到問題要上報，這樣才能真正保障計算機的安全。

2.由於玩網絡遊戲、利用QQ聊天的用戶數量逐漸增加，所以各類盜號木馬必將隨之增多，建議用戶一定要養成良好的網絡使用習慣，及時升級殺毒軟體，開啟防火牆以及實時監控等功能，切斷病毒傳播的途徑，不給病毒以可乘之機。

(