前天上线不到20分钟就被盗了，玩wow 3年多积累下来的1w多g化为乌有，还是挺心疼的。

　　问题来了，我使用的是正版的卡巴每天更新，同时打开了360和天网，怎么会在没有任何报警的情况下被盗呢，而且卡巴查杀也没有任何发现。

　　昨晚卡巴的病毒库更新之后，终于把该死的木马揪出来了。

　　在这里公布一下这个病毒的特征和行为，希望各位NGAER千万要注意。

　　木马特征：

　　该木马会在WOW的安装目录生成以下三个DLL文件，这三个文件对于正常的wow安装是不存在的，如果存在的话必然是中毒了!

　　lpk.dll

　　systext.dll

　　syslpk.dll

　　同时wow安装后安装目录下的dll只有7个，如果多了也可能有中毒的嫌疑。

　　木马原理：

　　利于dll动态链接库定位原理，欺骗launch.exe和wow.exe调用病毒的lpk.dll。

　　本身lpk.dll是系统的一个动态链接库，在windows安装目录下存在，wow的程序会用到

而windows程序在定位加载动态链接库的时候，先会在程序的当前目录查找，再到系统目录查找，因此病毒生成的这个lpk.dll会被wow首先找到并加载，这个时候病毒已经成功注入到wow进程了。这个方式非常隐蔽，只能说想到这个方式的人太有才了，更恐怖的是这种方式根本不用修改wow的任何文件，所以无论是launch.exe和wow.exe的MD5检查都不会有任何问题。而且由于dll已经加载到wow内部，所以木马的任何活动对杀毒软件看起来都会是“合法的”。

　　木马行为：

　　1. 修改注册表

　　HKEY_LOCAL_MACHINE/SOFTWARE/MICROSOFT

　　增加一个新的键，名称就是你登录的战网id，键值含义没再去分析了

　　因此可以通过regedit在注册表中搜索你的战网帐号看看是不是中毒了。

　　2. 通过反汇编看到木马在explorer.exe加了几个hook，好久没看过汇编代码了，对windows api也没有深入研究，看不懂，可能是捕捉键盘鼠标事件之类的。

　　3. 截获你的密码输入，在游戏过程中发送出去。

　　4. 如果有密保的话，在登录过程中会将你的密保矩阵位置截图成jpg，存放在

　　C:\Documents and Settings\[你的windows用户名]\Local Settings\Temp

　　下，命名方式是：你的战网id+序号.jpg，估计用于稍后和你的密保输入发送出去

　　这个木马只在启动wow时才加载，而且只对wow生效，因此其他帐号可以放心。

　　查毒方式：

　　检查wow安装目录下是否有那3个文件(或者其他可疑文件)

　　检查注册表是否被建了可疑键值

　　检查temp目录下时候有偷拍照

　　查杀的方式：

　　很简单，只要退出wow然后删除那几个文件就行了，喜欢的话也可以顺手把注册表它建的键值和temp下面被偷拍的照片也删了。

　　事后记得将密码和密保卡都更换一下。