网络盗号者监控网络游戏通信截取账号密码

　　【赛迪网-IT技术报道】“破天盗号木马18620”（Win32.PSWTroj.OnlineGames.ku.18620），该病毒是网络游戏《破天一剑》的盗号木马。病毒运行后会衍生病毒文件至系统目录下，并添加注册表增加启动项，注入进程.把截获到的账号和密码等信息通过网页提交的方式发送到木马种植者手上。

　　“大话西游3盗号者37008”（Win32.Troj.OnlineGamesT.nr.37008），这是《大话西游3》的盗号木马。它运行后，会查找360安全卫士、“killer_Gdwli32.exe专杀器”等安全软件的进程，将其强行关闭。然后监视系统中是否有《大话3》的进程文件xymain.bin，如果有则注入其中，盗取玩家网游账号密码等信息。

　　一、“破天盗号木马18620”（Win32.PSWTroj.OnlineGames.ku.18620） 威胁级别：★

　　这是一个普通的盗号木马，不具备对抗杀软的能力，作案原理也简单。还不需毒霸，单凭清理专家这样的安全辅助软件都可以轻易查杀它。不过，但凡是盗号木马，都是值得提高警惕的。

　　这个木马针对的是网络游戏《破天一剑》，它可以通过网页挂马、捆绑正常文件等方式进入电脑。病毒会在系统盘中释放出两个病毒文件，分别为%WINDOWS%根目录下的SSLDyn.exE，以及%WINDOWS%system32目录下的SSLDyn.dll。前者是病毒的主文件，病毒通过将它的数据写入注册表启动项实现开机自启动，而后者是负责盗号的程序。

　　完成文件释放后，病毒删除自己的原始文件，使得用户不易发现它。然后，它把DLL文件注入到Explorer.exe进程和《破天一剑》当中，建立消息监视程序，从用户与游戏服务器的通信中筛选出游戏账号和密码等信息，以网页提交的方式发送到木马种植者指定的网址http://www.ks*****8.cn/tiddcs014/cxd.asp，使得用户遭受虚拟财产的损失。

　　二、“大话西游3盗号者37008”（Win32.Troj.OnlineGamesT.nr.37008） 威胁级别：★

　　病毒在系统盘下释放出五个病毒文件，分别是%WINDOWS%system32目录下的3auhad.cfg、3auhad.dll、msepion.sys、msepion.vxd，以及%WINDOWS%system32drivers下的msacpe.sys。其中，3auhad.dll和msepion.sys的相关数据会被病毒写入注册表启动项，实现开机自启动。

　　随系统开机启动后，病毒注入到桌面进程Explorer.exe ，启动单独的线程来监控360安全卫士、“killer_Gdwli32.exe专杀器”等安全工具的进程，并将它们强行关闭，扫除自己罪案过程中的障碍。然后，它搜索系统中是否有《大话西游3》的进程文件xymain.bin，如果有，病毒就注入其中，盗取玩家网游账号密码等信息。

　　在病毒的代码中，含有http://c*r.3wt***x*z.com?&pin=%s&r=%***=%s&m=%d&mb=%d

　　这样一个地址，根据毒霸反病毒工程师的分析，这个网址就是木马种植者用于接收赃物的地址。

　　金山反病毒工程师建议

　　1.最好安装专业的杀毒软件进行全面监控，防范日益增多的病毒。用户在安装反病毒软件之后，应将一些主要监控经常打开（如邮件监控、内存监控等）、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。

　　2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，及时升级杀毒软件，开启防火墙以及实时监控等功能，切断病毒传播的途径，不给病毒以可乘之机。