“QQ盗号木马116858”（Win32.Troj.QQPswT.bs.116858），这是一个盗取QQ帐号信息的木马程序。它利用AUTO病毒传播，通过键盘记录的方式截获用户的QQ号和密码，并发送给木马种植者。

　　一、“网游盗号者98304”（Win32.Troj.OnlineGamesT.ty.98304） 威胁级别：★★

　　病毒进入用户电脑系统后，释放出两个病毒文件，分别为%WINDOWS%目录下的xgmbtb.exe和%WINDOWS%\system32\目录下的WSockDrv32.dll，然后修改注册表中的相关数据，实现开机自动运行。

　　当成功运行起来，病毒首先会搜索当前系统中是否安装得有杀毒软件“瑞星”，如有，就紧盯它，如发现瑞星试图弹出警告提示框向用户报告系统异常，就抢先将其关闭。接着查找系统桌面进程explorer.exe，将之前生成的DLL文件注入其中，搜索网络游戏《魔域》、《剑侠情缘2》、《破天一剑》、《征服》和对战平台《浩方》的进程，从中盗取帐号和密码，并建立远程连接，发送到木马种植者指定的地址http:/ /www.ni*d*d.com/。

　　值得注意的一点，该病毒为躲避用户查杀，在每次电脑重启后，它都会改变自己在注册表中使用的EXE名称，但其Value值始终为“WSockDrv32”，习惯于手动杀毒的用户，可以此来查杀它。

　　二、“QQ盗号木马116858”（Win32.Troj.QQPswT.bs.116858） 威胁级别：★

　　病毒进入电脑系统后，在系统盘的%ProgramFiles%\Internet Explorer\PLUGINS\目录中释放出三个病毒文件，即SysWin7k.Jmp、Wn_Sys8x.Sys、Wn_Sys8x.Tao。同时，为便于扩大自己的传染范围，它还在全部磁盘分区的根目录中生成AUTO文件Autorun.inf和Autorun.exe，如果用户双击含毒磁盘或在中毒电脑上使用U盘等移动存储设备，病毒就能被激活，再次感染包括移动存储设备在内的所有磁盘。

　　病毒修改注册表重的数据，使自己实现开机自启动。当它成功运行后，就把之前生成的dll文件注入系统桌面进程explorer.exe中，查找QQ登陆窗口，监视用户输入盗取的帐号和密码，并发送到木马种植者指定的网址http://z*u*un.1*4.53d*s.com/QQ/Qq9.asp中。

　　如果木马种植者掌握了用户的QQ号，一般情况下会将里面的Q币洗掉，然后卖掉QQ号。但也有些木马种植者会利用盗来的QQ号诈骗原用户的好友。因此，如发现QQ号被盗，应尽快通知好友，最大限度减少损失。

　　工程师建议

　　1.最好安装专业的杀毒软件进行全面监控，防范日益增多的病毒。用户在安装反病毒软件之后，应将一些主要监控经常打开（如邮件监控、内存监控等）、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。

　　2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，及时升级杀毒软件，开启防火墙以及实时监控等功能，切断病毒传播的途径，不给病毒以可乘之机。