“魔兽地狱烈焰盗号者”（PE.Win32.PSWTroj.OnLineGames.90112），这是一个针对网游《魔兽世界》盗号木马程序。它会关闭杀毒软件卡巴斯基的进程，然后盗取电脑上网络游戏《魔兽世界》的账号信息。为阻止用户查杀，它还注入系统关键进程中运行，造成直接关闭进程时系统运行可能出现异常。

一、“假保安诈骗木马29632”（Win32.Troj.Update.a.29632） 威胁级别：★★

安装安全软件当然是为了保护电脑数据的安全，但如果你电脑上的安全软件不但无法保护你的电脑，还对你坑蒙拐骗，你该怎么办呢？昨天毒霸反病毒工程师就处理了这样一个“安全软件”。

这个“安全软件”是利用一个专门的下载器进行传播，它的下载器会通过与其它软件捆绑、流氓式安装等方式进入用户电脑。运行后会在%WINDOWS%目录下释放出下载器主文件xpupdate.exe，以及在%Programfiles%目录下生成多个其它病毒文件。

接着，该下载器开始收集用户的系统信息，并以指定格式发送至病毒作者安排的地址http://dow***ad.M****reAlarm.com/madownload.php，进行分析。然后根据服务器反馈的信息下载间谍软件，以MalwareAlarm.exe的名称放到系统盘的%Programfiles%\MalwareAlarm\目录下。

当修改注册表、实现随系统自启动后，这个间谍软件就会弹出一个虚假的提示消息，显示出“您的电脑系统中存在严重异常，请立即购买本产品正式版进行修复！”之类让用户感到恐慌的窗口。让人在不知所措中匆忙按照它的提示汇款、转账，达到骗取钱财的目的。如果说盗号木马是顶着用户的骂声作案，那这种假冒的安全软件则完全是利用电脑用户对安全软件的信任感来进行讹诈，十分可恶。

这类木马已经不是第一次出现，电脑用户们如果发现自己电脑中突然有莫名其妙的安全提示，一定要提高警惕，很可能你遭遇的就是这种骗子。另外，在选择安全软件时，也要像购买普通商品那样，选择形象、口碑都好的品牌，避免遭遇这些“不良厂商”。

二、“魔兽地狱烈焰盗号者”（PE.Win32.PSWTroj.OnLineGames.90112） 威胁级别：★★

病毒进入电脑后，立即修改%windows%目录下的系统文件win.ini。别看这个文件不起眼，它在系统中是负责配置Windows开机程序、警告声音、键盘响应的速度等属性的，对它进行修改，会有利于病毒下一步的破坏活动。

同时，病毒释放出病毒文件msoscqit00.dll，将它写入系统注册表，实现开机自启动。搜索并尝试关闭杀毒软件卡巴斯基的进程，然后将该文件注入系统进程services.exe中，用搜索进程和枚举窗口名的方式寻找《魔兽世界》的进程。一旦发现目标，病毒就会通过内存读写的方式窃取玩家的账号信息，并将其发送到木马作者指定的多个远程服务器。

从注入services.exe运行，可看出病毒的狡猾。这个文件用于管理启动和停止服务，是微软Windows操作系统必不可少的一部分，如果用户试图用直接中止该进程的方式关闭病毒，电脑可能就会出现异常。看来，病毒是希望绑架services.exe ，如“地狱烈焰”般一损俱损，阻止用户查杀。不过，只要已经安装毒霸，就可免去担心了。

金山反病毒工程师建议

1.最好安装专业的杀毒软件进行全面监控，防范日益增多的病毒。用户在安装反病毒软件之后，应将一些主要监控经常打开（如邮件监控、内存监控等）、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。

2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，及时升级杀毒软件，开启防火墙以及实时监控等功能，切断病毒传播的途径，不给病毒以可乘之机