作者：kaduo

【赛迪网-IT技术报道】“传奇Ⅲ盗号者65536”（Win32.PSWTroj.OnLineGames.as.65536），该病毒是网络游戏《传奇3》的盗号木马。病毒运行后会修改注册表生成启动项，把盗取的账号信息通过网页提交的方式发送到木马种植者手上。

“Word涂改液693269”（Win32.Troj.Sola.693269），这是一个恶作剧木马程序。它能够利用AUTO技术进行传播，运行起来就会搜索电脑中全部的Word文档，将它们的后缀改为exe。不过，被改了后缀的Word文件并不会遭到破坏，依然可以打开。

一、“传奇Ⅲ盗号者65536”（Win32.PSWTroj.OnLineGames.as.65536） 威胁级别：★

近来网络游戏《传奇3》的盗号木马有增多的倾向，该游戏玩家需注意帐号安全。本篇预警播报中的病毒就是个《传奇3》盗号木马的变种。

病毒进入系统后会释放出三个文件，分别为%Windows%/system32/目录下的kcoin32.exe和kcoin32.dll，以及%WINDOWS%/LastGood/system32/drivers/目录下的cdaudio.sys。其中kcoin32.exe是病毒主文件，它会被写入注册表启动项，使病毒实现开机自启动。

当病毒运行起来。它会把dll文件注入到系统当中进程中，不断搜索是否有网络游戏《传奇3》，如有则注入其中，通过内存读取的方式获得玩家的帐号和密码，然后通过网页提交的方式发送到病毒作者指定的网络地址http://www.*******.cn/cqzhudao/post.asp，给用户带来虚拟财产的损失。

二、“WORD涂改液693269”（Win32.Troj.Sola.693269） 威胁级别：★

这个病毒对系统没有明显的破坏，它的行为偏向于恶作剧。如果中了该毒，并且用户系统中有WORD文档，那么这些文档就会被更改后缀名称。

此毒进入电脑后，会释放出大量的病毒文件，大部分集中在%WINDOWS%/Fonts/HIDESELF../目录中。其中对病毒运行起到主要作用的是%WINDOWS%/Fonts/HIDESELF../目录下的Function.dll，以及%WINDOWS%/Fonts/HIDESELF../solasetup/目录下的SOLA.BAT。

病毒修改系统注册中的多项数据，使自己实现开机自启动。一旦顺利运行起来，就会搜索电脑中全部的WORD文档，把它们的后缀改为了exe。另外，为实现快速传播，该毒会在所有的磁盘分区下生成文件Autorun.inf和文件夹SOLA，而SOLA文件夹下有一个Function.dll文件和一个SOLA.bat批处理文件。顺便一提，这些文件的属性都是系统隐藏文件。

就毒霸反病毒工程师目前的观察而言，这个病毒除了将WORD文档改后缀外，没有别的恶意行为，并且这些被修改了的WORD文档依然能够打开。

金山反病毒工程师建议

1.最好安装专业的杀毒软件进行全面监控，防范日益增多的病毒。用户在安装反病毒软件之后，应将一些主要监控经常打开（如邮件监控、内存监控等）、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。

2.由于玩网络游戏、利用QQ等即时聊天工具交流的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，如不要登录不良网站、不要进行非法下载等，切断病毒传播的途径，不给病毒以可乘之机。

(责任编辑：董建伟)

标签： 木马