“完美小偷69897”（Win32.Troj.OnlineGameT.nf.69897），该木马网络游戏《完美世界》的盗号木马。病毒运行后会衍生病毒文件到系统路径下，把盗取的账号信息通过网页提交的方式发送到木马种植者手上。i7yEMU32.COM软件站> 资讯中心
i7yEMU32.COM软件站> 资讯中心
“MSN后门制造者65536”（Worm.VB.as.65536），这是一个通过MSN传播的蠕虫后门。该病毒用VB语言编写，如果进入用户电脑，会复制大量的副本到系统内，同时在注册表内添加多个启动项确保自身随系统启动。站稳脚跟后建立后门，为黑客入侵提供便捷。i7yEMU32.COM软件站> 资讯中心
i7yEMU32.COM软件站> 资讯中心
一、“完美小偷69897”（Win32.Troj.OnlineGameT.nf.69897） 威胁级别：★i7yEMU32.COM软件站> 资讯中心
i7yEMU32.COM软件站> 资讯中心
网游盗号木马依旧层出不穷，这个病毒就是一个网游盗号木马。它在进入系统后，会将自己的病毒文件释放到系统盘中，分别是%WINDOWS%目录下的tciocp64.exe，以及%WINDOWS%\system32\目录下的tciocp64.dll。其中tciocp64.exe是病毒主文件，病毒会将它的相关数据写入系统注册表，启动项，以便达到开机自启动之目的，而tciocp64.dll是用来执行盗号的文件。i7yEMU32.COM软件站> 资讯中心
i7yEMU32.COM软件站> 资讯中心
病毒将tciocp64.dll注入系统进程后，搜索是否安装得有网络游戏《完美世界》，如有，则建立消息监视，从用户与游戏服务器之间的通讯信息中过滤出游戏账号和密码，然后把它们通过网页提交的方式发送到http://www.*******.cn/tIyn***jhg/pasnt.asp这个由病毒作者安排好的网址中，给用户造成虚拟财产的损失。i7yEMU32.COM软件站> 资讯中心
i7yEMU32.COM软件站> 资讯中心
毒霸反病毒工程师还发现，该病毒具有自我删除功能。在运行完毕后，它就删除自身原始文件，使得用户无法发现系统中出现了多余的文件。i7yEMU32.COM软件站> 资讯中心
i7yEMU32.COM软件站> 资讯中心
二、“MSN后门制造者65536”（Worm.VB.as.65536） 威胁级别：★i7yEMU32.COM软件站> 资讯中心
i7yEMU32.COM软件站> 资讯中心
这个后门病毒主要利用网页挂马和MSN传送的方式进行传播，近来传播趋势有增高倾向，可以怀疑是有人在故意进行传播。i7yEMU32.COM软件站> 资讯中心
i7yEMU32.COM软件站> 资讯中心
它进入用户电脑后所释放出的病毒文件非常多，遍布于系统盘%WINDOWS%目录下的众多子文件夹中，名字各异，但都是病毒的副本文件。毒霸反病毒工程师认为，病毒作者这样做，是为了防止病毒被轻而易举地“一锅端”。i7yEMU32.COM软件站> 资讯中心
i7yEMU32.COM软件站> 资讯中心
尽管病毒文件众多，但我们还是可以通过病毒进程“顺藤摸瓜”，找到它们。毒霸可以直接查杀该毒，习惯手动杀毒的用户，需注意%WINDOWS%\system\fun.exe、%WINDOWS%\sviq.exe、%WINDOWS%\dc.exe这几个病毒进程，以及它们在注册表中的数据，它们就是病毒的主文件。i7yEMU32.COM软件站> 资讯中心
i7yEMU32.COM软件站> 资讯中心
当顺利地释放出所有文件，并建立进程，该毒便会打开端口1042 TCP和1043 UDP，在后台悄悄连接病毒作者指定的远程服务器du***oivb.goo*****ges.com，等待黑客的入侵。i7yEMU32.COM软件站> 资讯中心
i7yEMU32.COM软件站> 资讯中心
最后，病毒会监视系统内MSN运行情况，向用户的MSN好友自动发送含毒文件来传播自身。i7yEMU32.COM软件站> 资讯中心
i7yEMU32.COM软件站> 资讯中心
金山反病毒工程师建议i7yEMU32.COM软件站> 资讯中心
i7yEMU32.COM软件站> 资讯中心
1.最好安装专业的杀毒软件进行全面监控，防范日益增多的病毒。用户在安装反病毒软件之后，应将一些主要监控经常打开（如邮件监控、内存监控等）、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。i7yEMU32.COM软件站> 资讯中心
i7yEMU32.COM软件站> 资讯中心
2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，及时升级杀毒软件，开启防火墙以及实时监控等功能，切断病毒传播的途径，不给病毒以可乘之机。