金山毒霸反病毒专家戴光剑表示,“魔域盗贼”变种MS(Win32.Troj.OnlineGames.ms)并非一普通的游戏盗号木马,它可用特殊的方法逃避杀毒软件的查杀,而且由于病毒本身存在一个缺陷,所以用户一旦中招,系统在启动过程中将无法显示桌面,致使用户无法看到桌面图标,而只能看到一个空白的桌面。
专家介绍,该病毒运行后,会把自己拷贝到系统目录中,并释放一个病毒文件C:WINDOWS\system32\wsttrs.dll(Win32.Troj.Onlinegames.nb.12288),之后病毒体将自行删除。
用户一旦感染该病毒,病毒会寻找网络游戏“魔域”等的游戏进程,并使用钩子读取用户输入的游戏帐号与信息,把得到的信息通过wsttrs.dll文件以网站上传的方式发送到木马种植者事先指定的网站上去,使用户的游戏帐号丢失。
金山毒霸从5日开始就发现了该病毒的多个变种,而截止到目前,金山毒霸客户服务中心已接到数百用户的求助电话。针对该病毒的传播特点,金山毒霸反病毒中心及时进行了病毒样本分析,毒霸用户只要升级病毒库到2007.04.07.16,即可查杀该病毒目前所有变种。此外,对于非毒霸用户,金山毒霸反病毒工程师为您提供了一套手动清除方案,您可以根据方案中的清除方法彻底清除该病毒。
“魔域盗贼”变种MS的手动解决方案
1.在windowsXP及其以上系统中:
当无法进入桌面的时候,调出windows任务管理器(Ctrl+Alt+Delete调出),切换到进程标签,然后找到wsttrs.exe进程,选中后单击右键结束进程,既可正常显示桌面。
2.在windows2000及其它系统中:
需要进入带网络连接的安全模式,升级毒霸到最新版本(2007.04.07.16),对windows目录进行查毒,病毒查杀结束后,重启系统即可正常显示桌面。
3.当以上两种方案都不能成功,则有可能是该病毒的最新变种,应进入安全模式,打开注册表编辑器,定位到HKEY_LOCAL_MACHINE\SoftWare Microsoft \Windows\CurrentVersion\RunOnce(注意是RunOnce不是Run)
查找启动程序位于系统盘windows或者系统盘WinNT文件夹下的启动项。
例如:wstthrsc:windowswsttrs.exe
或者wstthrsc:winntwsttrs.exe
删除改键值,并向金山毒霸提交该文件,重启系统既可。