经常看到有用户说，在输入自己帐号与密码后提示密码错误，那幺八九不离十就是中了盗号木马了，其实这种木马是最早期的盗号木马程式。05年后已经很少有编木马程式的程式设计师，还按照这种监听键盘记录的思路去编写木马程式。更高级的盗号木马程式已经发展到通过记忆体提取数据来获得用户的帐号和密码。

盗号木马

不管任何一款程式，它都是有他所特有的数据的（包括用户的帐号、密码，等级装备资料等等）。这些数据都是会通过本机与游戏伺服器取得了验证以后，用户的角色资料才会出现在用户的面前。而这些数据在运行的时候都是存放在计算机的记忆体里面的。木马作者只需要在自己的程式里面加入条件语句就可以取得用户真实的游戏帐号、密码、角色等级等等。这种编程语句的大概意思应该是：当游戏进程进入到让用户选择角色的时候再从记忆体中提取最后一次的帐号、密码、角色等级等资料。

盗号木马程式一般分为伺服器端程式和客户端程式两个部分，当伺服器端程式安装在某台连线到网路的电脑后，就能使用客户端程式对其进行登入。这和PcAnywhere以及NetMeeting的远程控制功能相似。但不同的是，木马是非法取得对对方电脑的控制权，一旦登入成功，就可以取得管理员级的权利，对方电脑上的资料、密码等是一览无余。

盗号木马

这种木马一般的"伪黑客"很少使用，因为一不小心就会引火上身，被对方反查过来就会偷鸡不成蚀把米了。一般他们都会採用只有伺服器端的小木马，这类木马通常会把截取的密码发到一个信箱里，不需要人为操作，有空去收趟邮件就可以了。

这种木马遍布网际网路的各个角落，的确防不胜防，由于木马程式众多，加之不断有新版本、新品种产生，使得软体无法完全应付，所以手动检查清除是十分必要的。

木马会想尽一切办法隐藏自己，别指望在任务管理器里看到他们的蹤影，有些木马更是会和一些系统进程寄生在一起的。如着名的广外幽灵就是寄生在MsgSrv32.exe里，它也会悄无声息地启动，木马会在每次用户启动windows时自动装载服务端，Windows系统启动时自动载入应用程式的方法木马都会用上。如启动组、win.ini、system.ini、注册表等等都是木马藏身之地。

1、有很多图片木马，EML和EXE木马，其中的图片木马其实很简单，就是把木马exe档案的档案头换成bmp档案的档案头，然后欺骗IE浏览器自动打开该档案，然后利用网页里的一段JAVAscript小程式调用DEBUG把临时档案里的bmp档案还原成木马exe档案并拷贝到启动项里。接下来的事情很简单，下次启动电脑的时候就是噩梦的开始了，EML木马更是传播方便，把木马档案伪装成audio/x-wav声音档案，这样接收到这封邮件的时候只要浏览一下，不需要点任何连线，windows就会代劳自动播放这个他认为是wav的音乐档案，木马就这样轻鬆的进入电脑。

盗号木马

2、把木马exe编译到.JS档案里，然后在网页里调用，同样也可以无声无息的入侵电脑，这只是些简单的办法，还有远程控制和共享等等漏洞可以钻。

3、通过QQ，例如想盗游戏中指定人物的帐号，首先和他聊2句知道他QQ多少，然后通过QQ传送木马给他！QQ可分为：直接传送档案，网路硬碟共享，网页木马

4、通过邮件，把木马做为邮件的附属档案传送出去！收信人只要打开附属档案系统就会感染木马！

5、捆绑法，把木马和正常的程式捆绑在一起，在有人运行表面正常程式的同时，木马也就运行了.....这个捆绑的程式可以是：图片，电影，音乐，游戏外挂等等等

6、把木马在网咖电脑上双击下后，即可！对于网咖的还原精灵，在辅助工具一栏有还原精灵转存软体可破解此限制！

7、木马和QQ尾巴这样的病毒绑定在一起，这样传播速度非常快的！

8、最强的木马传播方法：网页木马！有人如果点了挂有木马的网址就会自动从伺服器上载入木马！一般的下载速度是50K/秒，而木马却只有16K的大小，也就是说只要有人点下网址就瞬间中下木马！

金山毒霸全球反病毒监测中心公布2007年上半年十大网路游戏盗号木马：

魔兽大盗

“魔兽大盗”变种QZZ(Win32.PSWTroj.wow.qzz)

盗号木马

该病毒是“魔兽大盗”的恶意改造版，它跟之前的恶意行为相似，会潜伏在电脑系统里，伺机注入到网路游戏“魔兽世界”进程中，盗取用户的游戏帐号，密码和装备等有效信息，并将其传送给木马种植者。造成用户的虚拟财产的损失。

该病毒运行后，会释放isignup.dll等病毒档案，修改注册表，实现随开机自动启动。此外，它还具备自删除的功能。

征途大盗

“征途大盗”变种SA(Win32.Troj.PSWZhengtu. sa）

该病毒的恶意行为跟之前“征途大盗”相似，都是针对网路游戏“征途”而来的，它会潜伏在受感染电脑的系统里，伺机注入到游戏“征途”的进程里，截取用户的QQ帐号和密码信息，将窃取的有效信息传送给木马种植者，造成用户网路虚拟财产的损失。

该病毒运行后，会释放npkcrypt.vxd和ztconfig.ini等多个病毒档案，添加一个名字为LoginService的病毒服务，查找“征途”的客户端视窗zhengtu_client，将窃取的帐号信息和密码并传送出去。

传奇大盗

“传奇大盗”变种WXX(Win32.Troj.PSWLmir.wxx)

该病毒是“传奇大盗”的恶意改造版，跟之前的版本的恶意行为相似，它会潜伏在电脑系统里，伺机获取网路游戏的用户登录视窗，并记录用户的键盘和滑鼠的操作，将窃取的信息传送给木马种植者，造成用户的虚拟财产的损失。

该病毒运行后，会释放一个ptool32.exe病毒档案，修改注册表，实现随开机自动启动。关闭KVXP_Monitor和木马防火墙等多个安全软体的防毒视窗。

西游大盗

“西游大盗” (Win32.PSWTroj.OnlineGames)

该病毒是跟一般的盗号木马行为相似，它会潜伏在受感染电脑中，伺机注入到网路游戏“大话西游”的游戏进程，创建信息勾子获取游戏帐号和密码，并将窃取的信息传送给木马种植者。造成用户的虚拟财产的损失。

盗号木马

该病毒运行后，会释放dh2103.dll病毒档案，修改注册表，实现随开机自动启动。自动查找WSWINDOW视窗，盗取有效信息，并将其发到恶意站点h**p：//wangz*****ta.dprktimes.c om/kaole/lin.asp。

诛仙窃贼

“诛仙窃贼”(Win32.PSWTroj.OnlineGames.139264)

该病毒是一个网路游戏的盗号贼，它跟一般盗号木马相似，它会伺机注入到网路游戏“诛仙”进程里，通过读取进程记忆体的方式，获取游戏帐号和密码，并将其传送给木马种植者，造成用户的虚拟财产的损失。

该病毒运行后，会释放kulionzx.exe和kulionzx.dll病毒档案，修改注册表，实现随开机自动启动，盗取有效信息，并将其传送到hxxp：//www.jb***.com/***yszx/sendmail.asp。

完美世界窃贼

“完美世界窃贼”变种LC(Win32.PSWTroj.XYOnline. lc)

该病毒会伪装成受感染电脑中的系统进程，监视网路游戏“完美世界”的游戏进程，创建信息勾子，盗取游戏的帐号和密码、金钱等有效信息，并将其传送给木马种植者。造成用户的虚拟财产的损失。

该病毒运行后，会将自身複製到winlog0n.exe系统进程里，修改注册表，实现随开机自动启动。搜寻并获取完美世界的ElementClient.exe游戏进程，达到盗号的目的。

天龙神偷

“天龙神偷”变种E(Win32.PSWTroj.TLOnline.e)

该病毒是一个新的网路游戏盗号贼，它跟一般盗号木马的恶意行为相似，会潜伏在电脑系统里，监视网路游戏“天龙八部”的用户登录视窗，记录游戏帐号和密码等有效信息，并将窃取的信息传送给木马种植者，造成用户的虚拟财产的损失。

该病毒运行后，会释放多个病毒档案，修改注册表，窃取游戏帐号和密码，并将其传送到h**p：//www.z*****.cn/tianlong/postly.asp等多个站点。

梦幻西游大盗

“梦幻西游大盗”变种IU(Win32.Troj.XiYou.iu)

该病毒跟一般盗号木马病毒的恶意行为相似，它会伺机注入到网路游戏“梦幻西游”的游戏进程里，同时创建信息钩子，获取用户的帐号和密码等有效信息，并将窃取的信息传送到木马种植者指定的恶意站点，造成用户的虚拟财产的损失。

该病毒运行后，会释放nmhxy.exe和nmhxy.dll两个病毒档案，搜寻并注入该游戏进程my.exe，获取相关的有效信息，然后，将信息传送到恶意站点。

点开始-运行，输入：msconfig回车就会打开系统配置实用程式，先点system.ini，看看shell=档案名称，正确的档案名称应该是explorer.exe。

如果explorer.exe后边还跟有别的程式的话，就要好好检查这个程式了，然后点win.ini“run=”和“load=”是可能载入“木马”程式的途径。一般情况下，它们的等号后面什幺都没有，如果发现后面跟有路径与档案名称不是熟悉的启动档案，计算机就可能中上“木马”了。当然这也得看清楚，因为如“AOL木马”，它把自身伪装成command.exe档案，如果不注意可能不会发现它不是真正的系统启动档案。

最后点“启动”，检查里面的启动项是不是有不熟悉的，如果实在不清楚的话可以把他们全部取消，然后重新运行msconfig，看一下有没有取消的启动项重新被选中的，一般木马都会存在于记忆体中，（就是执行绪插入，然后隐藏进程的木马，DLL无进程木马就不会驻留在记忆体里面）所以发现取消他的启动项就会自动添加上的，然后就可以逐步添上输入法，音量控制，防火墙等软体的启动项了。

还有一类木马，他是关联注册表的档案打开方式的，一般木马经常关联.exe，点开始-运行，输入：regedit回车，打开注册表编辑器，点第一条，也就是HKEY_CLASSES_*OT，找到exefile，看一下\emffile\shell\open\command里面的默认键值是不是%1%*。如果是一个程式路径的话就一定是中木马了，另外配合两种以上的防毒软体也是必要的，另外在windows下木马一般很难清除，最后重新启动到dos环境下再进行查杀。

开始-设定-控制面版-添加删除程式-windows安装程式-把附属档案里的windowsscriptinghost去掉，然后打开InternetExplorer浏览器，点工具-Internet选项-安全-自定义级别，把里面的脚本的3个选项全部禁用，然后把“在中载入程式和档案”禁用。

这只是简单的防治方法，可能影响一些网页的动态java效果，这样还可以预防一些恶意的网页炸弹和病毒，如果条件允许的话可以加装防火墙，再到微软的网站打些补丁。

网咖用的都是原始安装的windows，很不安全，儘量少在一些小网站下载一些程式，尤其是一些号称黑客工具的软体，小心盗不着别人自己先被盗了。

不要以为装了还原精灵就很安全，一般网咖的还原精灵都只还原C：盘即系统区，所以只要木马直接感染安装在别的盘里的游戏执行档案，照样逃不掉的。

1.设定角色密码（可结合密码保护卡），

2.设定背包密码，背包分二部分（G也分2部份，1大额，1小额），一部分需要密码（可以放重要的财产），一部分不要密码（放置常用物品），可结合密保卡。

3，装备栏设定密码保护卡，上线后需要输入密保卡解除装备栏的密报卡数，才能使用技能 ，如果不解除绑定，不能使用技能并且无法交易。

4，仓库通过密码打开后，与背包相同。

5，设定退出密码，输入退出密码正常才能下线，非正常下线5分内不能登入。

6 设定下次登入地点，玩家下线时可以选者下次登入的IP段（以市为单位，不在IP段里面的IP，不能登入 ）

6 计算机绑定，对于有计算机的玩家可以绑定CPU编号，这点某些防毒软体有这个技术，你们估计也有这技术。

7，上述六点可结合密码保护卡，并且可以设定多张密码保护卡，登入界面一张密码保护卡，角色界面一张密码保护卡，背包一张密码保护卡，仓库一张密码保护卡，退出登录一张密码保护卡。补充：密保卡可随自己意愿绑定，但是追号大于等于2，背包，仓库等可以用同1张密保卡（最好不和登入用同1张），关于手机密保可改为，登入时不需打手机，登入后所有物品全部无法交易出售，无法发言，在登入后打手机才可解除，可防止手机密保在登入界面被木马利用

8，加强游戏本身防木马能力。可以和防毒软体公司合作设定一款专门用于魔兽的防毒软体

9，加入网咖IP段保护

10，这需要网游公司对现有密码系统升级

密保卡解绑过程：

登入的时候通过木马盗取玩家的密码，并且用盗取的密码进入密码保护卡解除绑定的网页页面，在通过木马把玩家登入时候的三个密码保护卡数换成密码保护卡解绑需要的三个数，1次就能骗到密码保护卡解除绑定需要的三个数了，再解除绑定，玩家的帐号就跟没密码保护卡一样.电话密码保护也一样，玩家打了电话，然后登入的时候通过木马让玩家不能连线伺服器并盗取玩家的密码，然后盗取账号者就2分内可以上去了盗取玩家财产。

一个让所有游戏玩家深恶痛绝的名字，辛辛苦苦几个月，甚至几年赢来的装备，顷刻之间全部消失，让人心痛。据统计，网路游戏爱好者87%有过被盗号经历，而2007年7月4日，金山发布2007年上半年安全报告中，报告指出上半年新增的木马中，盗号木马是最严重的一类木马，占到木马总数的76.04%，高达58245种。