木马针对网络游戏　盗取账号禁用自动更新

时间：09-16 来源：赛迪网点击：

"破天盗号者14100"(Win32.PSWTroj.OnlineGames.14100)这是一个网游盗号木马，盗取网游《破天一剑》的账号密码，禁用Windows自动更新。

随系统explorer.exe进程启动，并且连接网络下载病毒，盗取用户账号。

"武林盗号者86016"(Win32.PSWTroj.OnlineGames.86016)这是一个盗取《武林外传》的游戏账号的木马。病毒运行后会创建病毒进程，注入进程。修改注册表增加启动项。通过设置键盘消息钩子和鼠标消息钩子来盗取游戏的账号和密码。

一、"破天盗号者14100"(Win32.PSWTroj.OnlineGames.14100) 威胁级别：★

1.木马运行后，产生以下文件：

%windows%Fontsenpoafx.fon%system32%kapjacs.dll%system32%kapjbaz.exe%system32%kapjbzy.dll

2.HOOK系统的键盘鼠标消息，监视用户行为，盗取账号密码等。

3.木马下载文件的网址为：

http://wg963.com/lian*****aax/xxzzzs558aa/post.asp
该网址保存在%system32%kapjacs.dll文件中，该文件实际上是ini文件的格式，文件%windows%Fontsenpoafx.fon保存的是加密的URL。

二、"武林盗号者86016"(Win32.PSWTroj.OnlineGames.86016) 威胁级别：★

1.拷贝文件到

%sys32dir%avwlbst.exe
释放文件

%sys32dir%avwlain.dll%sys32dir%avwlbmn.dll

2.通过设置键盘消息钩子和鼠标消息钩子来盗取游戏的账号和密码。

3.病毒运行后会生成一个.bat 的文件实现自删除。

金山反病毒工程师建议

1.最好安装专业的杀毒软件进行全面监控。建议用户安装反病毒软件防止日益增多的病毒，用户在安装反病毒软件之后，应该经常进行升级、将一些主要监控经常打开（如邮件监控）、内存监控等，遇到问题要上报，这样才能真正保障计算机的安全。

2.玩网络游戏、利用QQ聊天的用户会有所增多，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，及时升级杀毒软件，开启防火墙以及实时监控等功能，切断病毒传播的途径，不给病毒以可乘之机。

栏目分类