近期，经过“一起玩游戏网”的监测又发现数个《热血江湖》网页木马病毒。经过观察，目前《热血江湖》木马以网页嵌入类型为主。在用户浏览骗子提供的一些中，木马病毒经过网页下载进行传播。在网页木马传播的同时，外挂木马成为了《热血江湖》盗号的第二大罪魁祸首。

　　在这里我们将向用户公布近期含有非法木马程序的网页及虚假外挂名称，用以提醒未

进入的用户防止受骗。已经进入以下网站的用户，请您及时使用最高版本病毒库的正版杀毒软件进行查杀，并使用Windows Update(IE浏览器工具选项下)进行漏洞修补。

　　网页木马

　　http：／／www。tta2。com

　　下载连接全是木马病毒

　　http：／／www。ongwg。com

　　典型的网页木马，打开网页木马自动运行。

　　http：／／www。rxwg。com

　　下载连接全是木马病毒

　　http：／／www。pcik。cn

　　典型的网页木马，打开网页木马自动运行。

　　http：／／www。flyfff。com

　　典型的网页木马，打开网页木马自动运行。

　　http：／／rxjh。wg886。com

　　下载连接全是木马病毒

　　http：／／www。wg2222。com

　　典型的网页木马，打开网页木马自动运行。

　　http：／／www。wg9996。com

　　打开www.wg9996.com网站,会自动下载ncx[1].gif和ncx[1].css两个文件到IE缓存中.前者其实是一个脚本文件,后者则是一个伪装的可执行程序。

　　如果执行了后者(ncx[1].css),他会复制文件ncx[1].css到system32\Systrsy.exe和system32\drivers\txtView.exe,图标为VB程序图标。

　　并在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下添加DataBase=C:\WINDOWS\system32\Systrsy.exe实现自启动。

　　http：／／www。like999。com

　　打开www.like999.com网站,他会自动转到wangying.j6.2345.net/icyfox.htm.该网页内嵌脚本会下载wangying.j6.2345.net/setup.exe到你的IE缓存里.

　　当setup.exe被执行后,会解压出foxrxjh.exe和locarxjh.sls到system32里。

　　http：／／www。9v9e。com

　　http：／／www。933cn。com

　　链接里的gg.exe为一个winrar的自解压文件,内为一所谓的外挂,只能不停的刷屏,为其做广告. 可执行文件为记事本图标,运行后它会复制一份到windows目录下并改名为rundll32.exe,同时生成一个rxdll.dll在system32目录下。它会更改注册表,生成启动项。

　　虚假盗号程序

　　热血江湖终结者系列

　　生成的服务端大小为32k,名字可以随便改变,如果运行它,会在1~2秒钟后执行文件消失,没有其他任何表现.但是,在这期间,它会生成一个同名的具有隐藏属性的dll文件到你的系统里的system32里,并把他注入到你的系统中,并挂接到每个进程里,但不会启动进程。

　　该木马非常隐蔽，目前使用McAfee及瑞星(需升级到最新病毒库)均可以检测到这个木马并杀死它。

　　瑞星在线杀毒：online.rising.com.cn/

　　请广大用户关注我们的新闻，在后期会更为详细的为大家解读木马与病毒程序。防患大于未燃，防护重于

编辑：梁凌