当心你的账号被“窗口偷窥者”透过IE窗口窥视

金山

   Win32.PSWTroj.OnLineGames.156160“窗口偷窥者”，这是一个主要针对台湾省电脑用户的网游盗号木马。它利用其它程序的内存空间来运行，并将自己伪装为系统插件，查找IE窗口，盗取多款网游的账号密码。

   Win32.Troj.AgentT.fm.14452“网游盗贼14452”，这是一个网游盗号木马的变种，它盗取的游戏众多。它会强行关闭正在运行中的网络游戏，使得玩家不得不重新登录。这样，病毒便可趁机盗窃用户账号。



1、“窗口偷窥者”（Win32.PSWTroj.OnLineGames.156160） 威胁级别：★★

  病毒成功运行后，在电脑系统中生成两个病毒文件，分别为%windows%目录下的un.dll和%windows%\system32\目录下的winfun.exe。然后，它修改系统注册表，在其中加入自己的相关信息，使自己能在每次系统开机时随之启动。随后，病毒会强迫其他程序加载自己的病毒文件，利用这些程序的内存空间来运行自己。这样的话，用户就不容易发现它。

  在运行过程中，病毒死盯IE窗口，一旦发现用户登录《天堂》、《魔兽世界》、GASH游戏平台、《奇魔》、《RAN Online台湾》、《R2 Online台湾》、《WM Online台湾》等网络游戏的官网，就会伺机截获用户的账号、密码、身份证、角色名、物品等信息，并将其发送到http://www.a**v***l.com/u***le.asp这个木马作者指定的地址。

  除了盗取网游账号信息外，该病毒还会随时留意雅虎通的窗口，尝试盗取用户的雅虎账号和密码。此外，“拍卖赢家”网站的账号信息也在它的目标之中。



2、“网游盗贼14452”（Win32.Troj.AgentT.fm.14452） 威胁级别：★★

 病毒进入电脑系统后，在系统中释放出四个病毒文件，分别为%windows%\\system32\目录下的avzxest.exe、avzxemn.dll和avzxein.dll，以及%windows%\Fonts\目录下的mszhasd.fon。然后，它修改系统注册表，将自己的相关信息加入其中，这样以来，以后用户每次启动系统时，它都能跟着自动运行起来。与此同时，它还会破坏注册表中关于系统防火墙和windows自动更新的部分，以延长自己在用户系统中潜伏的时间。

 完成以上前期工作后，病毒就开始搜索系统中运行着的ElementClient.exe和TQAT.exe的进程，找到后就将其强行关闭，这样的话，用户就不得不重新登录游戏。别以为它只会搞恶作剧，其实在用户重新登录时，它就会截获游戏账号和密码，并把它们发送到木马作者指定的地址，造成用户虚拟财产的损失。由于《武林外传》、《诛仙》、《完美世界》、《魔域》、《大话西游》、《机战》、《魔兽世界》等多款游戏中均包含ElementClient.exe和TQAT.exe进程，该木马的影响范围会比较广。

 此外，该病毒还具有自我删除和自我保护的功能，当运行后，它会删除源文件，使用户不易发现它，并不停地重写注册表，确保自己的相关信息不被删除。