魔獸玩家警惕"萬能餌料盜號者"竊取密碼

【賽迪網-IT技術報道】「劍俠盜號木馬102400」（Win32.PSWTroj.OnLineGames.102400），這是一個針對網絡遊戲《劍俠情緣2》的盜號木馬。該病毒主要通過網頁掛馬、文件捆綁等方式傳播。它通過遠程線程激活病毒代碼進行代碼注入，盜取《劍俠情緣2》的遊戲賬號和密碼等信息，並以網絡收信空間的方式發送給病毒作者。

「萬能餌料盜號者」（Win32.PSWTroj.OnLineGames.106496），這是一個危害多款網游的盜號木馬程序。該木馬會注入到系統桌面進程，監視用戶系統中所有包含Game.dll模塊的網游程序以及QQ聊天工具，伺機盜取賬號和密碼。同時，它還具備一定的對抗殺軟能力。

一、「劍俠盜號木馬102400」（Win32.PSWTroj.OnLineGames.102400） 威脅級別：★★

如果在玩遊戲時遇到突然掉線或程序關閉的情況，建議不要馬上重新登錄，你所遭遇的不一定是網絡故障，而有可能是盜號木馬的入侵。在毒霸反病毒工程師長久以來分析過的盜號木馬中，有一類木馬是通過強行中止遊戲的方式來盜號的，近日，這類木馬再次出現。

此次分析的這個木馬，它會以網頁掛馬、文件捆綁等方式進入用戶電腦系統，在系統盤下釋放出兩個病毒文件，即%WINDOWS%/目錄下的mppds.exe與%WINDOWS%/system32/目錄下的mppds.dll。其中mppds.exe是病毒主文件，它會被寫入註冊表啟動項，實現開機自動運行。而mppds.dll則負責盜號工作。

如果順利運行起來，病毒就把mppds.dll注入桌面進程explorer.exe中，然後悄悄建立遠程線程，激活病毒代碼，開始遍歷進程。如果查找網絡遊戲《劍俠情緣2》的文件「so2game.exe」，病毒便會將其關閉。當玩家重啟遊戲後，病毒在遊戲記憶體空間中搜索玩家通過遊戲登陸窗口輸入的資料，以此獲取賬號和密碼等信息，並以網絡收信空間的方式發送給病毒作者。

二、「萬能餌料盜號者」（Win32.PSWTroj.OnLineGames.106496） 威脅級別：★★

這是一個可以危害多款網游的盜號木馬。它的作案原理與大多數其它盜號木馬一樣，都是靠注入遊戲進程來作案，但由於它所注入的進程在多款遊戲中都有，因此覆蓋面較大。

病毒在進入電腦後，在系統盤%windows%目錄下釋放病毒文件SHAProc.exe，同時在%windows%/system32/目錄下釋放出SHAProc.dat。然後，病毒把自己的相關資料寫入系統註冊表，實現自動啟動。在這個過程中，它會創建線程監視是否有殺毒軟體卡巴斯基的警告框彈出，如果有則關閉。

運行起來後，病毒創建單獨的線程，監視用戶系統，查找並注入Game.dll模塊，讀取賬號和密碼資料。由於多款網游都具有Game.dll文件，受到影響的網游會比較多。根據毒霸反病毒工程師的統計，目前含有Game.dll的各款網游中，《魔獸爭霸》的玩家較多，因此，該款遊戲的的玩家需要特別留意。

此外，除盜取網游賬號外，該病毒也會監視QQ聊天工具的進程，伺機盜取賬號密碼。不過如果已經安裝了毒霸，就不必擔心了。

金山反病毒工程師建議

1.最好安裝專業的殺毒軟體進行全面監控，防範日益增多的病毒。用戶在安裝反病毒軟體之後，應將一些主要監控經常打開（如郵件監控、記憶體監控等）、經常進行升級、遇到問題要上報，這樣才能真正保障計算機的安全。

2.由於玩網絡遊戲、利用QQ聊天的用戶數量逐漸增加，所以各類盜號木馬必將隨之增多，建議用戶一定要養成良好的網絡使用習慣，及時升級殺毒軟體，開啟防火牆以及實時監控等功能，切斷病毒傳播的途徑，不給病毒以可乘之機。

(