主题：木马在线 酷狮向网游伸出黑暗之手

    最新消息
    就在9月3日这一天，金山毒霸的客服中心接到用户电话，来电者声称电脑内的网络游戏运行程序被某杀软查杀，导至无法正常启动。金山霸反病毒工程师立即对其提交的杀毒日志进行分析，并最终确定杀软并非误杀，而是网游被酷狮子感染反致。其不是针对某单一的网游，而是能对《诛仙》、《武林外传》、《魔兽世界》、《热血江湖》和《完美世界》的帐号进行捕捉，目前酷狮子的变种以达数十种之多。

    技术剖解酷狮子
    酷狮木马与以往传统木马大不相同，可以自动伪造网游图标，并在受感染的系统中替换网游客户端程序，而且仅仅在游戏启动时激活，在不开启网游可执行程序情况下，木马不产生任何动静。由于其文件路径还跟网游客户端程序一样，所以在游戏启动时杀毒软件对其痛下杀手，造成游戏无法进行。

    原理分析：由于该类型木马是恶意玩家量身定制的，其用于接收盗号的信息网址可以随意更改，但是源程序中的参数部份却相同，如下：User= 用户名&pass = 密码& ser = 服务器名_网络连接 &cangku =仓库密码 &beizhu = 备注&rw = 等级 &pcname = 计算机名

    执行操作：该木马的目前出现的变种方行为基本相同，都有一个EXE病毒源体。当酷狮子感染进驻系统后，会将自身复制到Windows系统目录下，并随即释放出DLL文件扎入根目录中，随后该木马开始查找网游目录，并进行下列操作：

    热血江湖：酷狮子木马会将可执行程序auncher.exe改名为launchar.exe，随后将其launchar.exe属性设置为隐藏并追加成系统文件，最后盗号木马将改名为auncher.exe实施盗号。

    魔兽世界：酷狮子木马首先会将WOW.EXE改名为 W0W.EXE，并将W0W.EXE属性设置为隐藏并改写为系统文件，然后将盗号木马改名为WOW.EXE实施盗号。 （提示：注意文中的O和0的区别）

    完美世界、武林外传和诛仙用的相同客户端：照例酷狮子木马会将网游可执行程序elementclient.exe改名为elemontclient.exe，随即将elemontclient.exe属性设置为隐藏追加为系统文件，然后盗号木马改名为elementclient.exe等待用户启动实施盗号。

    也就是说当酷狮子发现自身非处于网游文件夹下时，会加载DLL动态链接库，执行等待使命，随后会自动寻找计算机硬盘中的网络游戏，并进入其内尝试运行客户端，客户端一但运行成功，那么木马会将自身程序激活替换并改写相关内容，一但成功盗号后，恶意EXE线程将结束执行，等待下一次启用时机。