2007年4月7日,一名為“魔域盜賊”變種MS(Win32.Troj.OnlineGames.ms)的網游盜號木馬異常活躍,僅4月7日一天,毒霸客戶服務中心就接到數百用戶的求助電話。此變種除了盜取“魔域”帳號外,還可盜取“完美世界”和“浩方游戲平臺”的賬號密碼,比之前的一些變種更加險惡。
金山專家戴光劍表示,“魔域盜賊”變種MS并非一普通的游戲盜號木馬,它可用特殊的方法逃避殺毒軟件的查殺,而且由于病毒本身存在一個缺陷,所以用戶一旦中招,系統在啟動過程中將無法顯示桌面,致使用戶無法看到桌面圖標,而只能看到一個空白的桌面。
專家介紹,該病毒運行后,會把自己拷貝到系統目錄中,并釋放一個病毒文件C:\WINDOWS\system32\wsttrs.dll(Win32.Troj.Onlinegames.nb.12288),之后病毒體將自行刪除。
用戶一旦感染該病毒,病毒會尋找網絡游戲“魔域”等的游戲進程,并使用鉤子讀取用戶輸入的游戲帳號與信息,把得到的信息通過wsttrs.dll文件以網站上傳的方式發送到木馬種植者事先指定的網站上去,使用戶的游戲帳號丟失。
金山從5日開始就發現了該病毒的多個變種,而截止到目前,毒霸客戶服務中心已接到數百用戶的求助電話。針對該病毒的傳播特點,金山毒霸反病毒中心及時進行了病毒樣本分析,毒霸用戶只要升級病毒庫到2007.04.07.16,即可查殺該病毒目前所有變種。此外,對于沒有安裝殺毒軟件用戶,專家為您提供了一套手動清除方案,您可以根據方案中的清除方法徹底清除該病毒。
“魔域盜賊”變種MS的手動解決方案
1、在windows XP及其以上系統中:
當無法進入桌面的時候,調出windows任務管理器(Ctrl+Alt+Delete調出),切換到進程標簽,然后找到 wsttrs.exe進程,選中后單擊右鍵結束進程,既可正常顯示桌面。
需要進入帶網絡連接的安全模式,升級殺毒軟件到最新版本,對windows目錄進行查毒,病毒查殺結束后,重啟系統即可正常顯示桌面。
\CurrentVersion\RunOnce(注意是RunOnce不是Run)
查找啟動程序位于系統盤\windows 或者系統盤\WinNT文件夾下的啟動項。
例如:wstthrs c:\windows\wsttrs.exe
或者:wstthrs c:\winnt\wsttrs.exe
刪除改鍵值,重啟系統既可。
