安天实验室7月22日病毒预警

一、“大话木马”（Trojan/Win32.WOW.ipf[Stealer]） 威胁级别：★★★★

    该恶意代码文件为大话西游2游戏盗号木马，病毒运行后首先会查找进程里有没有大话西游2的游戏进程，如果找到后就强行结束游戏进程，使用户重新登陆游戏以便通过键盘钩子窃取用户输入的游戏账号密码，衍生病毒DLL文件到系统目录下，试图将DLL注入到所有进程中，设置键盘消息钩子准备截取游戏账号密码，将账号密码发送到病毒作者指定的地址中。

二、“魔兽窃贼”（Trojan/Win32.WOW.ipo[Stealer]） 威胁级别：★★★★

    该恶意代码文件为魔兽世界游戏盗号木马，病毒运行后遍历进程查找avp.exe、ravmond.exe进程，如果2个进程存在任意一个，则会判断注册表是否有魔兽世界注册表项，直到找到该注册表项为止，如果不存在以上2个进程，则会遍历进程查找wow.exe、backgrounddownloader.exe进程并将其强行结束，遍历注册表查找魔兽世界注册表键值，找到之后删除魔兽世界目录下的ksuser.dll文件（如果注册表不存在魔兽世界键值则不衍生），并重新创建一个同名文件到游戏目录下，将属性设置为隐藏，创建互斥体防止病毒多次运行，再次遍历进程查找avp.exe、ravmond.exe进程如果找到进程，则衍生DLL文件到%TEMP%临时目录下，使用rundll32.exe启动衍生的病毒DLL文件，如果进程中不存在以上2个安全软件进程，则会衍生随机病毒名文件到%TEMP%临时目录下，动态加载衍生的随机病毒名文件，调用病毒DLL模块HHHH来设置钩子，通过消息钩子截取魔兽世界游戏账号密码，将截取的游戏账号密码以email和URL方式发送到病毒作者地址中。

安天反病毒工程师建议