巫妖王 为盗号而怒

安全阵线

懒猫

系列进度：第五期

针对游戏：《魔兽世界》

病毒危害：盗取游戏的账号和虚拟装备

小编点睛

前不见金币，后已失紫装，念仓库之空空，独怆然而涕下。玩游戏最怕盗号了，可怕什么来什么，《魔兽世界》又可以玩了，病毒又蠢蠢欲动了。

魔兽病毒将会再度活跃

“……结果第二天，上线发现我可怜的卡西莫多，一身健美的肌肉，站在铁炉堡的银行门口邮箱处，除了点工程材料，G币和装备全部光光了，哭啊，删号的心都有了。”

“盗号的把密码修改了！我恨它，诅咒它，我……”

“玩魔兽没被盗过就不算玩过这个游戏！”

上面是几条台服魔兽玩家的留言，类似的帖子几乎每天都可以看到，特别是台服不准注册新账号后，还有黑客爆炒账号。网易可以内部测试《魔兽世界》，对玩家而言是好事，对盗号者而言也是机会。

在魔兽停服期间，魔兽病毒的数量呈现滞涨的情况，新变种的出现不再频繁。而最近魔兽病毒又活跃起来了，虽然目前新变种的数量还不是很多，但在《魔兽世界》正式运营后，估计会爆发式增长，重新成为游戏病毒中的老大。

魔兽病毒通杀技

如果中了魔兽病毒，我们应该如何清除、最大程度减少损失呢？下面就跟我一步一步手工清除病毒吧。

第一步：如果杀毒软件还能使用，重启电脑进入安全模式杀毒，运气好的话就可以杀掉病毒。如果运气不好，杀毒软件找到病毒但杀不了怎么办？请看第二步。如果杀毒软件不能正常使用了，可以登录在线查毒系统http://shadu.baidu.com/freetools/index.jsp，在线查找病毒的文件有哪些。如果遇到更凶狠的病毒，屏蔽IE中带“杀毒”字样的网页怎么办？别急，接着往下看。

病毒原理：魔兽病毒进入电脑后，会在特定目录释放病毒副本（不同变种释放的位置有差异），然后将盗号DLL插入所有用户进程，检测游戏窗口伺机盗号。有的变种还可以监测用户是否在线，如果在线就把用户踢下线。通过记录用户输入的密保卡上的数字（图1），黑客可以模拟一个密保卡，所以不要奇怪绑定密保后账号仍然可能被盗。

第二步：如果打开带“杀毒”字样的网页立即关闭，说明电脑进程中含有AV终结者之类的病毒，我们可以使用《AV终结者/机器狗/磁碟机专杀》工具进行清理。打开专杀工具，点击“禁用自动播放”，再点击“开始扫描”，扫描后清除即可（图2）。

第三步：在第一步中，我们通过在线查毒系统得到了魔兽病毒的文件名（文件名因变种而异，本例中是wowms.exe，wowms.dll， inst00.dat）。打开进程管理工具Wsyscheck（下载地址：http://www.shudoo.com/bzsoft），点击菜单栏中的“软件设置”，勾选“删除文件后锁定”（图3）。

然后在进程管理页面里选中病毒进程wowms.exe，点击右键选择“结束进程并删除文件”，接着在用户进程中寻找wowms.dll，找到后点击右键选择“卸载模块并删除文件”（图4），最后删除全部临时文件就可以清除病毒文件inst00.dat。

第四步：打开系统修复工具SREng（软件下载地址：http://www.shudoo.com/bzsoft），选择“系统修复→高级修复→自动修复”修复系统。再次重新启动电脑进入带网络连接的安全模式，升级杀毒软件至最新病毒库，全盘杀毒清除病毒残留物。

安全小百科：预防网游病毒的方法

第一，使用带网页木马拦截功能的安全辅助工具。

第二，保持杀毒软件的每日更新。

第三，使用账号保护工具登录游戏。第四，定期更改游戏的密码。第五，平日不乱访问网站，特别是色情网站，色情网站是病毒的“大本营”。

外篇　魔兽趣事两则

我玩《魔兽世界》，看到过一些有趣的玩家名字，都是恶搞盗号者、病毒的。最让我不能忘却的是看到3个人在一具圣骑士的尸体旁边守尸，他们的名字分别是“我只盗金币”、“我只盗装备”、“你们都盗了我盗什么”（估计他们3个是一起的），而圣骑士的名字就叫“有种盗我号”。

还有一次，碰到两个组队的猎人（一男一女），他们各自带有宝宝。男猎人的名字是“看到病毒，就诈死”， 男猎人宝宝的名字是“你死我也死”，女猎人的名字是“碰到病毒，我就闪”，女猎人宝宝的名字是“你闪我也闪”。