遭遇美人计：因好色丢掉网游装备!!

　　玩网游的兄弟们注意了，最近发现下木马者广施美人计，不少网友不慎坠入圈套，唉，直落个财色双丢，人财两空，好不凄惨。

　　盗号流程大致如下：

　　准备下木马的人一般会在网络游戏中建个小号，一般为MM号（多半是人妖），在游戏中找装备不错的大号扮MM套近乎。如果大号上当，很快就会请求加QQ。如果不幸QQ中加了此人，很快，对方会频繁施展“美人计”诱你上钩，最多见的是和你视频，你看到对方的视频一定是令色男大流口水的美女。其实，你不知道这视频全是假的，早就有伪造QQ视频的工具，对方看到上钩的网友视频一定会耻笑不已。接下来，下木马者一般会给你传照片，如果不是查看文件扩展名的话，上当受骗就难免了。对方传过来的是exe后辍，图标是图片文件的木马程序，绝不是什么MM写真之类。双击打开的后果，就是被盗号。别指望什么主动防御，社会工程学欺骗是最最有效的突破手段。在我们分析这个样本时，发现不少人中的是“网络红娘”木马，该木马非常类似于“灰鸽子”，被安装服务端后，该电脑就会被远程攻击者完全控制，下面看看这个“网络红娘”木马的分析报告。

　　病毒概述

　　毒霸查出的网络红娘样本的病毒名称为Win32.Troj.Agent.401408，这是远程控制类木马病毒。它在本地创建客户端，向远程服务端传送本地计算机的情况。伺机盗取有用的信息。

　　1.病毒运行后，产生以下病毒文件

　　%SystemRoot%\system32\aedl.exe

　　%SystemRoot%\system32\aedl.dat

　　%SystemRoot%\system32\aedl .jpg

　　病毒释放的实际文件名可能与此不同。它释放的jpg文件为病毒的文件名加上空格再加上jpg扩展名。 2.创建服务，以便随系统启动。 3.会在一段很短的时间内修改系统时间，影响安全软件运行。并查找弹出的卡巴斯基和微点的窗口，向窗口发送鼠标点击消息，允许病毒的操作。 4.修改系统中的数据，隐藏服务，用户无法在服务控制台中查找到此服务。 5.进入其他程序的空间，在其他程序空间内运行病毒。 6.连接远程服务端，上传本机的信息，包括计算机名、系统版本、用户名等。 7.执行服务端的指令，可以捕捉视频、捕捉音频、捕捉图像、创建文件、读取文件、删除文件、修改文件、枚举服务、修改服务属性、启动服务、删除服务、停止服务、获得当前进程列表、模块列表、终止进程、创建进程、执行命令、获取窗口的标题。 8.监视本地计算机的键盘和鼠标动作，向服务端发送这些动作。

　　盗取网游账号的过程