警惕传奇黑眼睛

网络与通信

谢军华

2002年是网络游戏盛行的一年，随着网络游戏的逐渐升温，专门针对各种网络游戏的病毒与木马也渐渐增多。近段时间流行一种名为传奇黑眼睛(QQeye)的木马，它专门盗取网络游戏《传奇》的用户资料，因此玩《传奇》的朋友对这只“眼睛”要提高警惕了，以免它掠走了自己的账号。
传奇黑眼睛的危害非常严重，因为它使用了多种先进编程技术，以前专门针对QQ的木马程序只能盗取用户通过键盘输入的密码，而传奇黑眼睛却能盗取用户通过键盘及其他任何方式输入的密码，例如使用复制粘贴法输入的密码。同时，该木马调用了一个微软未公开的Windows API来隐藏自己的进程，使它在运行时不能被用户发现(但只能在Windows 9X中隐藏进程)。该木马通过与《传奇》的窗口消息进行挂钩的方法来截获游戏者的用户名和密码，并发送到指定的邮箱。可见，这只“眼睛”非常狡猾和阴险。

木马特征：

感染了该木马的计算机具有以下特征：
1.复制文件：木马运行后会将自己的主程序复制到Windows的系统目录(通常为C：\Windows\System)，并命名为Sysservice32.exe。同时生成一个名为App.dat的配置文件，用于保存盗取的游戏账号将发送到的邮箱。
2.修改注册表：注册表的[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\Run]分支是系统的启动项，该木马在此分支下新建一个键值“SysService32="C:\Win-dows\System\SysService32.exe"”，使自己在Windows启动时即可自动运行。

清除方法：

1.删除文件：若用户的操作系统为Win98/Me，请重新启动到DOS下并删除系统文件夹(通常为C:\Windows\System)中的木马文件Sysservice32.exe。若用户的操作系统为Win2000/XP，则可直接在任务管理器中关掉Sysservice32.exe程序，然后在资源管理器中删除系统目录中的Sysservice32.exe文件。
2.修复注册表：运行注册表编辑器Regedit，依次展开[HKEY_LOCAL_MACHINE\SOFTWARE\Mic-rosoft\Windows\CurrentVersion\Run]分支，将“SysService32”键值删除。
另外，金山毒霸、瑞星等反毒软件均能有效防杀该木马，不过要注意及时升级病毒库。