近期，江民科技反病毒中心陆续接到网络游戏玩家报告，他们正在使用的网络游戏帐号莫名被盗，而且电脑中正在使用的杀毒软件也突然异常终止工作，

“落雪”木马疯狂 江民发布病毒专杀工具木马防范

接到用户举报后，江民反病毒中心立即对用户上报的可疑文件样本进行分析，经分析，导致网络游戏玩家帐号被盗的原因是电脑感染了一名为“落雪”的木马病毒。“落雪”木马可以盗取包括魔兽世界、传奇世界、征途、梦幻西游、边锋游戏在内的多款网络游戏的帐号和密码，对网络游戏玩家的游戏装备构

“落雪”木马也叫“游戏大盗”（trojan/psw.gamepass），由vb程序语言编写，通过nspack3.1加壳处理（即通常所说的“北斗壳”northstar），该木马文件图标一般是红色的图案，伪装成网络游戏的登陆器。

病毒运行后，在c盘programfile以及windows目录下生成winlogon.exe、regedit.com等14个病毒文件，病毒文件之多比较少见，，事实上这14个不同文件名的病毒文件系同一种文件，“落雪”之名亦可能由此而来。病毒文件名被模拟成正常的系统工具名称，但是文件扩展名变成了.com。江民反病毒工程师分析，这是病毒利用了windows操作系统执行.com文件的优先级比exe文件高的特性，这样，当用户调用系统配置文件msconfig.exe的时候，一般习惯上输入msconfig，而这是执行的并不是微软的msconfig.exe程序，而是病毒文件msconfig.com，病毒作者的“良苦用心”由此可见，

电脑资料

江民反病毒工程师介绍，除了在c盘下生成很多病毒文件外，病毒还修改注册表文件关联，每当用户点击html文件时，都会运行病毒。此外，病毒还在d盘下生成一个自动运行批处理文件，这样即使c盘目录下的病毒文件被清除，当用户打开d盘时，病毒仍然被激活运行。这也是许多用户反映病毒屡杀不绝的原因。

针对“落雪”病毒，江民杀毒软件kv系列产品已及时升级，用户只需升级病毒库到最新状态、开启病毒实时监控即可有效防杀该病毒，亦可使用江民未知病毒检测功能处理该病毒。没有安装杀毒软件的用户，也可以下载使用江民“落雪”木马专杀工具进行杀毒，以免遭“落雪”病毒侵害。

江民“落雪”病毒专杀工具下载地址：

/html/download/antivirus_software/virustool/20060815183045943.html

关 键 字：木马防范

相关文章：

详解木马启动的几种方式

如何一次性删掉木马

快刀斩断死神木马的第三只手

禁止其他程序暗中发送邮件

快速关闭端口防止病毒与 入侵