病毒惡作劇破壞系統　木馬冒充網游登錄界面

【賽迪網-IT技術報道】「視窗殺手248」（Win32.KillWin.jz.248），這是一個極具破壞性的惡作劇病毒程序。它利用感染正常的exe格式文件進行傳播，病毒會刪除C:盤中的boot.ini、ntldr、bootmgr等重要的系統啟動文件，造成用戶在下一次使用電腦時，系統無法啟動。

「虛假登錄盜號者212480」（Win32.Troj.OnLineGames.ly.212480），這是一個盜號木馬程序。該程序會創建多款網絡遊戲的虛假伺服器，騙取用戶登陸，從而盜取用戶的賬號相關信息。

一、「視窗殺手248」（Win32.KillWin.jz.248） 威脅級別：★★

在見慣了各式各樣的盜號木馬後，突然發現一個傳統的破壞型病毒實在是讓人有種「眼前一亮」的感覺。不過這可不是什麼好事，因為它給你帶來的麻煩也許會超過被偷走遊戲賬號的程度。

這個病毒可利用所有exe格式的可執行文件進行傳播，它將病毒代碼寄生在被感染文件的節空閒處，當用戶運行被感染的文件時，病毒就會被激活。它會從被感染文件中分離出來運行，讓原始文件正常運行，而它卻在c:盤根目錄下悄悄地進行搜索，刪除所有能找到的boot.ini、ntldr、bootmgr文件。

由於這些文件都是系統啟動時需要調用的重要文件，剛剛被刪除時，系統不會出現任何異常，但當用戶下次再開機，就會發現電腦根本無法啟動。雖然修復病毒造成的破壞並不複雜，但這已經足以給用戶的正常使用帶來很大的麻煩。如果是商業電腦中了此毒，那甚至可能會令用戶蒙受巨額的經濟損失。

不幸中的萬幸是，由於該病毒並不不完善，它只能刪除c:盤下的系統文件，如果你的系統盤不在c:盤，就不會受到任何影響。

二、「虛假登錄盜號者212480」（Win32.Troj.OnLineGames.ly.212480） 威脅級別：★★

這是一個針對台灣省島內運營網游的盜號木馬。它採取偽造伺服器登錄頁面的「釣魚」手段來盜取網游賬號和密碼，由於偽裝度非常高，並且不對遊戲進程進行注入，作案成功率較高。廣大網遊玩家需提高警惕。

病毒會通過網頁掛馬、捆綁其它軟體等方法混進電腦，然後將病毒文件rinter.dll和rinter.exe釋放到系統盤的%WINDOWS%/Web/printers/images/目錄下，其中rinter.dll的相關資料會被寫入系統註冊表，以實現開機自啟動。

成功啟動後，病毒會自己創建出多款網游伺服器的虛假登錄窗口。經毒霸反病毒工程師分析，發現該病毒共偽造得有《亂（Ran） online》、《魔獸世界》、《天堂》、《FZG》、《黃易群俠傳》等5款台灣熱門網游的登錄窗口。假窗口看上去和真的一模一樣，但只要用戶從偽造的窗口登錄，賬號和密碼就會被記錄下來，發送到病毒作者指定的地址上，實現盜號。

雖然病毒針對的是台灣省島內的遊戲玩家，但內地玩家，尤其是在台服有賬號的玩家一樣需要注意。建議安裝《金山密保》等專業的賬號保護軟體，配合毒霸一起進行防護，以提高系統的安全係數。

金山反病毒工程師建議

1.最好安裝專業的殺毒軟體進行全面監控，防範日益增多的病毒。用戶在安裝反病毒軟體之後，應將一些主要監控經常打開（如郵件監控、記憶體監控等）、經常進行升級、遇到問題要上報，這樣才能真正保障計算機的安全。

2.由於玩網絡遊戲、利用QQ聊天的用戶數量逐漸增加，所以各類盜號木馬必將隨之增多，建議用戶一定要養成良好的網絡使用習慣，及時升級殺毒軟體，開啟防火牆以及實時監控等功能，切斷病毒傳播的途徑，不給病毒以可乘之機。

(