“梦幻西游盗号者”木马猖狂 网游玩家需小心

“梦幻西游盗号者17408”(PE.Win32.PSWTroj.OnLineGames.17408)是一个盗号木马程序。该程序会盗取网络游戏《梦幻西游》的帐号信息，并下载其它病毒至受害电脑上运行。

“网银劫匪183808”(Win32.Expiro.b.183808)，这是一个盗窃购物网站帐号以及网银密码的木马。它会监视用户浏览记录，如果发现用户当前正在浏览ebay等购物网站以及网上银行，就会展开键盘记录，盗取用户输入的敏感信息。

一、“梦幻西游盗号者17408”(PE.Win32.PSWTroj.OnLineGames.17408)　威胁级别：★

这是一个“常规”的盗号木马，不具备对抗安全软件的能力，但它会下载其它木马到电脑中充当帮凶，尽可能多地“榨取”用户电脑中的敏感信息。

病毒在系统中释放出大量的病毒文件，主要隐藏在%WINDOWS%\Temp\目录和%WINDOWS%\system32\目录下。文件释放完毕后，病毒篡改系统注册表，创建大量的病毒启动项，实现开机自启动。

接着，病毒注入系统进程services.exe中，并加载释放出的病毒文件 MSDEG32.DLL 和mhsha1.dat，通过搜索《梦幻西游》的进程“MY.EXE”、查找名字为“梦幻西游”的游戏窗口的方法找到游戏主程序。一旦发现目标，病毒就会通过内存读写的方式窃取玩家的帐号信息，并将其发送到http://www.r****wd.com/c**/、http://www.5****1.com等多个由木马作者指定的远程服务器。

如果以为它偷完东西就完事，那可错了。该病毒还会连接远程服务器，下载其它木马文件安装至本地计算机，试图盗取更多的敏感资料。不过只要安装了毒霸，就不用担心它的这些小动作了。

关于该病毒的详细分析报告，可在金山病毒大百科中查阅：http://vi.duba.net/virus/pe-win32-pswtroj-onlinegames-17408-50488.html

二、“网银劫匪183808”(Win32.Expiro.b.183808)　威胁级别：★★

盗号木马作者不会仅仅满足于盗窃网游帐号，只要有足够的利润驱动，他们会更愿意直接对你的银行帐号下手，毕竟银行帐号里的是现钱。从毒霸反病毒工程师统计到的资料看，下面这个盗号木马和它的一系列变种在近期有较高的作案可能。

这个木马是利用感染正常文件来进行传播的。如果用户运行被感染的文件，病毒就会被激活，开始搜寻正常文件。它会先将正常文件复制一份，以.ivr结尾，感染完毕后再将其删除。被感染的文件，会被加上.data 、.text、.bss、.data等后缀。

感染，只是为了不断扩张自己的传播范围，该病毒真正的盗号行为是在内存中进行。它被激活后，会不断搜索用户当前的浏览记录，如果监视到用户正在浏览ebay等购物网站及网银，就会展开键盘记录，记下用户敲入的帐号、密码等敏感信息，然后发送到木马作者指定的地址。