5.22病毒快报:小心冒险岛盗号者

　“网游盗号木马78089”（Win32.PSWTroj.OnLineGames.78089），这是一个网游盗号木马。它会注入系统桌面进程，盗取《烽火之旅》、《魔兽世界》，以及“游戏茶苑”的帐号和密码。

　　“冒险岛盗号者107664”（Win32.Troj.OnlineGameT.am.107664），该木马是一个网游盗号木马的变种之一。它会盗取网络游戏《冒险岛oline》的帐号密码，并把盗取信息通过网页提交的方式发送到病毒作者手上。

　　一、“网游盗号木马78089”（Win32.PSWTroj.OnLineGames.78089） 威胁级别：★

　　这个盗号木马近来传播趋势较高。毒霸反病毒工程师发现，该毒近来出现大量变种，可能是病毒作者利用自动生成工具批量生成的原因，值得关注。

　　文件进入系统后，将两个病毒文件释放到系统盘下，分别为%WINDOWS%/下的huifitc.exe，以及%WINDOWS%/system32/目录下的huifitc.dll。其中huifitc.exe是病毒的主文件，会被注入系统注册表，以实现病毒的开机自启动。而huifitc.dll用于执行盗号行为。

　　当顺利运行起来，病毒就注入系统桌面进程explorer.exe，搜索网游《烽火之旅》、《魔兽世界》，以及“游戏茶苑”，发现后注入其中。如注入成功，就读取帐号和密码，发送到病毒作者指定的地址http:/ /www.ck8***6.com，给用户造成虚拟财产的损失。

　　二、“冒险岛盗号者107664”（Win32.Troj.OnlineGameT.am.107664） 威胁级别：★

　　此盗号木马利用消息钩子来盗取用户的游戏帐号。所谓的消息钩子，就是在用户与游戏服务器的通讯信息之间建立监视，从其中筛选出帐号与密码信息。

　　病毒在进入系统后会释放出病毒文件fdght.dll、fjyjy.cfg、fjyjy.dll，它们的相关数据会被添加到注册表启动项中，使病毒实现开机自启动。文件的目录是%WINDOWS%/system32/，习惯手动查杀的用户，注意需将这几个文件删除。

　　最后，病毒搜寻《冒险岛oline》游戏进程，并将文件注入其中，盗取帐号，然后把赃物通过网页提交的方式发送到http://www.******.cn/911qj_tx/200/post.asp这个由病毒作者指定的网址。

　　金山反病毒工程师建议

　　1.最好安装专业的杀毒软件进行全面监控，防范日益增多的病毒。用户在安装反病毒软件之后，应将一些主要监控经常打开（如邮件监控、内存监控等）、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。

　　2.由于玩网络游戏、利用QQ等即时聊天工具交流的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，如不要登录不良网站、不要进行非法下载等，切断病毒传播的途径，不给病毒以可乘之机。