一、“武林盗贼37008”(Win32.Troj.OnlineGamesT.nr.37008) 威胁级别：★
　　病毒顺利进到用户的电脑系统中后，会释放出三个病毒文件，分别为%windows%\system32\目录下的niluw.cfg和niluw.dll，以及%windows%\system32\drivers\目录下的msacpe.sys，并修改系统注册表中的相关数据，实现自己的开机自启动。

　　当成功运行起来，病毒就抢先查找安全辅助软件360安全卫士和“killer_Gdwli32.exe专杀器”的进程，并将其强行关闭，以便于自己随后开展的盗号行为。

　　接着，病毒查找网络游戏《武林外传》的游戏进程，强行关闭它，迫使用户重新登陆。这样一来，病毒就可以将之前生成的niluw.dll文件注入其中，通过键盘记录的方式获得用户的帐号密码等信息。

　　如得手，病毒就在用户无法察觉的情况下连接木马作者指定的远程服务器，将偷得的信息发送出去，给用户造成虚拟财产的损失。

　　二、“大话西游II盗号者45260”(Win32.Troj.QQPass.df.45260) 威胁级别：★★

　　病毒进入用户系统后，释放出三个病毒文件，分别为%WINDOWS%\system32\目录下的rasatkyeyt.dll和rasatkyeyt.exe，以及%WINDOWS%\Temp\目录下的temp~3。其中，ravysigilyn.exe是病毒的主程序，病毒会将该文件的数据写入系统注册表启动项，使自己能随系统启动而运行起来。

　　为避免被杀毒软件查杀，该病毒运行后会迅速查找并关闭金山毒霸、江民、瑞星等主流杀毒软件的进程。其中，对于瑞星的破坏是采取直接删除其核心文件的方式。

　　接下来，病毒查找当前打开的工作窗口，判断窗口字符串是否包含“大话西游II”、“WSWINDOW”或“网易通行证”等字样。如果存在，则通过键盘记录的方式，盗取用户的网易通行证、“大话西游 II”仓库密码等敏感信息。

　　得手后，病毒利用电脑系统中的SMTP邮件协议无需验证的特点，悄悄地建立远程连接，将赃物发送至c**anh**sq@163.com这个由木马种植者指定的邮箱，给用户造成虚拟财产的损失。

　　金山毒霸反病毒工程师建议

　　1.最好安装专业的杀毒软件进行全面监控，防范日益增多的病毒。用户在安装反病毒软件之后，应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。

　　2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，及时升级杀毒软件，开启防火墙以及实时监控等功能，切断病毒传播的途径，不给病毒以可乘之机。