网易

昨日，记者接到一位“热血江湖”玩家张先生打来的求助电话，“我大概晚上7 点左右下线，8 点左右上线，不到一小时，3 万元左右的装备被洗劫一空，当时脑子一片空白，真不知道该如何是好！”

为此，记者第一时间咨询了金山毒霸反病毒专家。专家指出，近段时间，针对各类网络游戏的病毒异常活跃，而张先生极有可能是被一种叫做“热血江湖变种CK”的病毒盗取 了帐号。

类似张先生的遭遇相信在网游玩家中并不少见，近日，笔者一位朋友的MSN 签名突然改为“辛辛苦苦三十年，一夜回到解放前……”这样一段文字，询问后才知道，原来其苦心经营了1 年之久的魔兽帐号密码被盗，令其痛心不已。

据反病毒专家介绍，近期有8 种网游病毒针对魔兽、传奇、热血江湖、大话西游、天堂、武林外传、华夏2 等网络游戏疯狂作案，造成大量的游戏玩家损失惨重。以“热血江湖变种CK”木马为例，该病毒运行后会释放多个病毒辅助文件，添加系统服务，并隐藏病毒文件和病毒进程，使用户对其查杀产生困难；同时病毒会安装全局钩子，监视游戏窗口，在后台记录用户帐号信息，连接网络，将获得的帐号信息提交到指定的网页。

专家建议广大游戏玩家，在游戏过程需开启防火墙，防火墙会自动提醒用户有哪些针对游戏的木马试图攻击并已被拦截，对于比较新的木马，也可以在木马访问网络的时候进行询问，帮助用户识别。

近期八大网络游戏病毒介绍：

“热血江湖”变种CK(Win32.Troj.RXJH.ck)

这是一个盗取“热血江湖”网游帐号的木马程序，病毒运行后会释放多个病毒辅助文件，添加系统服务，并隐藏病毒文件和病毒进程，使用户对其查杀产生困难。病毒会安装全局钩子，监视游戏窗口，在后台记录用户帐号信息，连接网络，将获得的帐号信息提交到指定的网页。

“魔兽大盗变种pe”(Troj.WOW.pe )

这是一个盗取魔兽世界游戏帐号的木马，它能释放一个DLL 文件注入到Explorer.exe进程中，使病毒更隐蔽，在Explorer.exe中的病毒文件(mywow.dll )会寻找魔兽世界的游戏窗口，若发现，则从游戏中读取相关的信息，包括游戏玩家的帐号，密码，登录服务器，物品，装备等，并把得到的信息通过网站上传的方式发送给木马种植者，使用户的游戏帐号丢失。

“传奇大盗变种bt”(Troj.Lmir.bt)

这是一个能释放出另外两个传奇病毒盗取用户的传奇游戏帐号的传奇木马。病毒运行后会释放出两个病毒文件：%window%\399952.dll ，%window%\399952M.BMP，之后完成后会自删除。

病毒会在注册表中添加一自启动项，使病毒能随Windows 启动399952M.BMP 会把自己插入到conime.exe进程中运行，使病毒运行时没有产生新的进程，增加了查杀的难度，之后399952M.BMP 会调用399952.DLL文件来盗取游戏的帐号与密码，然后把得到的数据通过网站上传的形式发送给木马种植者指定的网站上，使用户的游戏帐号与密码丢失。

“天堂大盗变种dq”(Troj.Lineage.dq )

这是一个盗取网络游戏“天堂”的木马病毒。该病毒在受感染的系统中释放以下文件：C ：\WINDOWS\Download\svhost32.exe，并在C ：\Windows\system32\wldll.dll 路径中释放一个DLL 文件；该病毒还将在注册表自启动项中添加特定项，使其随windows 启动。病毒一旦盗取玩家的帐户信息后以邮件方式发送到木马种植者邮箱中，给玩家带来一定经济和精神上的损失。

“武林外传变种ab”(PSWTroj.WulinWZ.ab)

这是一个盗取游戏玩家帐户的木马病毒。该病毒将其自身复制为：%system%\svvosts.exe并执行。同时，释放文件%system%\mywl.dll ，添加特定的启动项。该病毒在系统中创建一消息钩子，盗取《热血江湖》的帐号和密码并发送到指定网页，给玩家用户带来极大的经济损失。

“大话西游变种dh”(Troj.XiYou.dh)

这是一个盗取网游“大话西游2 ”游戏帐号的木马。该病毒运行后将检测自身是否在系统目录下，如果不存在则拷贝其自身到%system%\ravysigie.exe并运行。该病毒捆绑一张游戏图片诱骗用户点击，病毒一旦开始运行则查找大量反病毒软件进程将其结束；该病毒盗取游戏帐号和密玛后连接网络，并利用自身邮件引擎发送给木马种植者。

“华夏2 变种ao”(PSWTroj.Agent.ao)

这是一个网络游戏" 华夏2"的盗号木马。该病毒将拷贝其自身到C ：\WINDOWS\system32\insthx.exe，并在启动项中添加特定项使其自身随windows 启动。病毒除盗取玩家用户重要信息外尝试获取QQ的号码与密码，并将相关的信息发送到木马种植者指定的邮箱。

“PswGame 变种ap”(Troj.PswGame.ap)

这是一个盗取网络游戏帐号信息的木马。该病毒运行后拷贝自身到%system%\svvost.exe ，释放一个病毒文件到%system%\mywl.dll 并删除自身。同时，病毒运行后会加载一dll 文件，安装全局钩子，一旦找到指定游戏窗口则获取游戏进程，并将信息提交到指定网址。(SY)