『魔域盜賊』瘋狂作案 一日之內數百系統癱瘓

    4月7日，一名為『魔域盜賊』變種MS（Win32.Troj.OnlineGames.ms）的網游盜號木馬異常活躍，僅4月7日一天，金山毒霸客戶服務中心就接到數百用戶的求助電話。此變種除了盜取『魔域』帳號外，還可盜取『完美世界』和『浩方游戲平臺』的賬號密碼，比之前的一些變種更加險惡。

    專家介紹，該病毒運行後，會把自己拷貝到系統目錄中，並釋放一個病毒文件C:\WINDOWS\system32\wsttrs.dll(Win32.Troj.Onlinegames.nb.12288)，之後病毒體將自行刪除。

    用戶一旦感染該病毒，病毒會尋找網絡游戲『魔域』等的游戲進程，並使用鉤子讀取用戶輸入的游戲帳號與信息，把得到的信息通過wsttrs.dll文件以網站上傳的方式發送到木馬種植者事先指定的網站上去，使用戶的游戲帳號丟失。

    金山毒霸從5日開始就發現了該病毒的多個變種，而截止到目前，金山毒霸客戶服務中心已接到數百用戶的求助電話。針對該病毒的傳播特點，金山毒霸反病毒中心及時進行了病毒樣本分析，毒霸用戶只要昇級病毒庫到2007.04.07.16，即可查殺該病毒目前所有變種。此外，對於非毒霸用戶，金山毒霸反病毒工程師為您提供了一套手動清除方案，您可以根據方案中的清除方法徹底清除該病毒。

    『魔域盜賊』變種MS的手動解決方案

    1、在windows XP及其以上系統中：

    當無法進入桌面的時候，調出windows任務管理器（Ctrl+Alt+Delete調出），切換到進程標簽，然後找到 wsttrs.exe進程，選中後單擊右鍵結束進程，既可正常顯示桌面。

    2、在windows 2000及其它系統中：

    需要進入帶網絡連接的安全模式，昇級毒霸到最新版本 （2007.04.07.16），對windows目錄進行查毒，病毒查殺結束後，重啟系統即可正常顯示桌面。

    3、當以上兩種方案都不能成功，則有可能是該病毒的最新變種，應進入安全模式，打開注冊表編輯器，定位到HKEY_LOCAL_MACHINE\SoftWare\Microsoft\Windows\CurrentVersion\RunOnce（注意是RunOnce不是Run）
查找啟動程序位於 系統盤\windows 或者 系統盤\WinNT 文件夾下的啟動項。

    例如： wstthrs   c:\windows\wsttrs.exe或者wstthrs   c:\winnt\wsttrs.exe刪除改鍵值，並向金山毒霸提交該文件，重啟系統既可。