【IT168 专稿】随着网络用户的增多，越来越多的游戏玩家都担心起游戏装备与帐号的安全，有的用户更是想方设法的利用各种保护措施增加安全性，以防被盗情况的发生。然尔即便如此，仍难逃脱恶运。很多恶意用户还是将黑手伸向了网游用户的电脑，其利用各种方式进行帐号密码的截获与盗取，使得网游用户终日笼罩在木马病毒的阴影中。

    网游大盗77824
    这不最近作者遇上了Win32.PSWTroj.OnlineGames.eq.77824即传说中的网游大盗77824。该木马是一个显著的盗取网络游戏帐号的木马，其通过后台修改注册表服务项启动方式，使自己随同计算机一起自动启动。当病毒服务启动后，会将病毒DLL文件注入到各进程中，等待网游用户进入游戏，从而伺机盗取《武林外传》、《完美世界》、《诛仙》等网络游戏的帐号信息。

    该病毒木马一但驻扎到用户计算中后，木马自身将在%systemroot%\system32目录下释放出gdwli32.dll和gdwli32.cfg文件，并随后在%systemroot%\system32\drivers下生成comint32.sys文件。当病毒完成上述条件后，源体开始自动创建一条线程并且不断重写注册表服务项和病毒服务文件(comint32.sys)，并启动该服务(病毒服务)。随后病毒DLL文件 gdwli32.dll 通过启动其病毒服务注入各进程。随后病毒木马程序运行，病毒自身将开始判断所挟带的DLL文件是否注入到 ElementClient.exe 进程，如果是则读取该进程目录下的 userdata\currentserver.ini 文件，以获取用户所在游戏服务器的相关信息，随后开始将盗取的帐号信息并发送到木马种植者指定的接收网址hxxp://www.p**gl***o.com/wl/l**.asp?s=#***=#。

    该病毒自动创建的注册表项如下：
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\comint32
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WL
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_COMINT32

    病毒一但完成上述所有条件，那么用户电脑将不再有安全可言，其如果安装有《武林外传》、《完美世界》、《诛仙》等网络游戏，那么帐号密码将在后台被该网游大盗77824所获取，并从后台开始外发。由于该木马采用注入正常程序的进程中运行 ，并不断重写服务和检查自身是否正常运行，将会使中毒电脑系统变慢，系统稳定性降低，当用户进入到计算机安全模式时，病毒也会启动成功。该种加载方式，对网游用户来说无疑是一个不小的打击。