大胃王盜號者悉數吞吃所有網絡遊戲賬號

【賽迪網-IT技術報道】「熱血江湖盜號者94304」（Win32.Troj.GamesHackT.gu.94304），這是一個針對網絡遊戲《熱血江湖》的盜號木馬。它由一個病毒生成器自動生成，通過迫使用戶重新登錄遊戲的方法，暗中記錄用戶輸入的賬號和密碼。此外，它還具有一定的對抗能力，會破壞部分安全軟體的正常運行。

「大胃王盜號者31500」（PE.Win32.PSWTroj.OnLineGames.ai.57344），這是一個可同時盜取多款網游賬號的盜號木馬。它通過將DLL文件注入遊戲進程後讀取記憶體的方式作案，作案對象是所有含有「遊戲」字樣的窗口的遊戲進程。

一、「熱血江湖盜號者94304」（Win32.Troj.GamesHackT.gu.94304） 威脅級別：★

病毒作者為提高病毒製作的效率，通常都會使用自動生成器。完全一樣的一段病毒代碼，只要稍微修改幾個進程名稱，就能得到多個病毒。我們在3月27日的病毒預警播報中，曾報道過一個英文名稱與本篇預警中的病毒相同的「天龍笨賊」，它們兩個很明顯就是由同一個病毒生成器製作出來的同名變種。

這個木馬通過悄悄記錄用戶輸入資料的方式盜取網絡遊戲《熱血江湖》密碼。它用戶系統中運行起來後，會通過查找窗口類名與窗口標題名的方法，找到《熱血江湖》的遊戲進程Client.exe，然後檢驗進程的命令行，確認是否真的為作案目標。如果確定，它就會立即關閉遊戲進程。

大多數正在玩著遊戲的用戶，遇到這種情況，一定是馬上重新登錄遊戲。但這樣一來，就正好中了病毒作者的全套。他的目的就是趁用戶再次登錄時，記錄下用戶輸入的賬號和密碼。

為阻止安全軟體查殺，病毒在進入電腦後會搶先關閉360安全衛士、QQ醫生、killer_Gdwli32.exe專殺工具、AntiArp.exe防火牆等安全輔助軟體，它的某些變種還會試圖攻擊毒霸，不過經檢驗，對毒霸無效。習慣手動查殺的用戶，可在系統盤的%WINDOWS%/system32/目錄下找到病毒文件xjxr.dll、xjxr.cfg，以及mseion.sys。

二、「大胃王盜號者57344」（PE.Win32.PSWTroj.OnLineGames.ai.57344） 威脅級別：★

這個盜號木馬的作案目標非常之廣，所有在進程窗口中包含有「遊戲」字樣的網絡遊戲，都是它的作案對象，只要它能在用戶電腦中順利運行起來，便可以如同大胃王一般將用戶電腦中的遊戲賬號悉數吞吃。

病毒在進入系統後立即在系統盤中釋放出兩個病毒文件，分別為%WINDOWS%/目錄下的winform.exe和%WINDOWS%/temp/目錄下的winform.dll。其中winform.exe是病毒的主文件，它的相關資料會被寫入系統註冊表，以實現開機自啟動。而winform.dll則負責注入系統桌面進程，在其中查找進程窗口中帶有「遊戲」字樣的程序，如果發現，就注入遊戲的記憶體空間，讀取賬號和密碼資料。習慣手動查殺的用戶，請留意這兩個文件，只要刪除它們，再清理乾淨註冊表，就能清除該毒了。

作案成功後，賬號信息會被發送到病毒作者指定的地址，給用戶造成虛擬財產的損失。不過由於技術含量不高，大部分安全軟體都可以查殺它。不過，由於此類病毒近日出現頻率較高，因此發出預警，向廣大用戶作為通報。

金山反病毒工程師建議

1.最好安裝專業的殺毒軟體進行全面監控，防範日益增多的病毒。用戶在安裝反病毒軟體之後，應將一些主要監控經常打開（如郵件監控、記憶體監控等）、經常進行升級、遇到問題要上報，這樣才能真正保障計算機的安全。

2.由於玩網絡遊戲、利用QQ聊天的用戶數量逐漸增加，所以各類盜號木馬必將隨之增多，建議用戶一定要養成良好的網絡使用習慣，及時升級殺毒軟體，開啟防火牆以及實時監控等功能，切斷病毒傳播的途徑，不給病毒以可乘之機。

(