小心:QQ偽裝盜號者和熱血江湖偽裝登錄器

【賽迪網訊】針對QQ的木馬和網游盜號的惡意程序越來越多，近日記者從金山方面獲悉，兩種木馬突發氾濫。廣大網友需提高警惕。

「QQ偽裝盜號者163840」（Win32.PSWTroj.QQPass.xw.163840），該病毒是針對QQ即時聊天工具的盜號木馬。病毒運行後會釋放偽裝成系統桌面進程的病毒文件，修改註冊表增加啟動項，然後通過記憶體讀取的方式盜取密碼，並把密碼發送到木馬種植者的手上。

「熱血江湖偽裝登錄器458752」（Win32.PSWTroj.OnLineGames.ni.458752），這是一個會盜竊網絡遊戲《熱血江湖》帳號的木馬程序。它運行後會替換掉網游《熱血江湖》的啟動文件，讓用戶通過病毒偽裝的啟動文件進入遊戲，從而盜取系統上的帳號信息，並發送給木馬作者。

一、「QQ偽裝盜號者163840」（Win32.PSWTroj.QQPass.xw.163840） 威脅級別：★

今天首先需要介紹的是一個QQ盜號木馬。據毒霸反病毒工程師的監測，此木馬以及它的若干變種在近日大量增加。整體來看，該毒的技術含量並不高，毒霸、清理專家以及大部分其它安全軟體都能將其查殺，但基於病毒流行趨勢的需要，我們依然發出預警播報。

該毒在進入用戶系統後，會將病毒文件explorer.exe和systemlr.dll釋放到系統盤的%WINDOWS%/system32/目錄下，其中的explorer.exe是病毒主文件，它的資料會被寫入註冊表啟動項，以實現開機自啟動，由於名字偽裝成與系統桌面進程一樣，會給用戶造成一定的迷惑。而systemlr.dll則是用來執行盜號的，習慣手動殺毒的用戶一定要刪除這兩個文件。

在順利運行起來後，病毒就將systemlr.dll注入到桌面進程中，搜尋並注入QQ的進程，通過記憶體讀取的方式盜取密碼，並把密碼發送到木馬種植者指定的郵箱中。病毒作者獲得用戶的QQ號後，會洗走用戶的Q幣，並向用戶的好友發送含有掛馬網頁地址的鏈接，傳播各類其它盜號木馬。

二、「熱血江湖偽裝登錄器458752」（Win32.PSWTroj.OnLineGames.ni.458752） 威脅級別：★

這個木馬會利用假冒的遊戲登錄器來收集《熱血江湖》玩家的帳號信息。

病毒利用網頁掛馬和捆綁文件等方法進入用戶系統後，會釋放出3個病毒文件，分別為%windows%目錄下的BO.exe、%WINDOWS%/System32/目錄下的terple.sys和sperls.dll，其中BO.exe是病毒主文件，它會被寫入系統註冊表啟動項，實現開機自啟動。

木馬會把dll文件注入系統進程explorer.exe和Client.exe中，展開全局監視，在系統中搜尋 「yb_sync.dll」和「yb_mem.dll"」兩個文件的所在路徑。它們是《熱血江湖》的文件，只要發現了它們，病毒就能夠判定用戶電腦中安裝了它想下手的目標。

接下來，病毒就找到遊戲目錄，將登錄程序 launcher.exe 重命名為 launchar.exe，並設置 為「系統」和「隱藏」，再將之前生成的病毒文件 BO.exe 複製到遊戲目錄下偽裝成 launcher.exe。這樣一來，用戶就會把病毒當作正常的登錄器來運行。

當用戶用這個假冒的登錄器登錄遊戲時，病毒就被啟動，它注入遊戲進程的記憶體，讀取帳號信息並發送至木馬作者指定的接收網址。與此同時，它會調用那個被藏起來的真正登錄器，為用戶執行登錄。再加上運行完畢後，病毒會執行自我刪除程序，刪掉自己的原始文件，這樣一來，用戶就完全無法察覺系統的異常。