“问道窃贼5437”（Win32.Troj.OnlineGamesT.en.5437），这是个针对网络游戏《问道》的盗号木马程序。它利用替换系统文件的办法让自己扎根于系统中，并且数据经过加花处理，试图躲避杀毒软件的查杀。它还具有一定程度的对抗能力，会关闭一些常见的安全软件。

　　“暴力伪装控制器118407”（Win32.Troj.OnLineGames.ad.118407），这是一个具有对抗能力的黑客程序。它会尝试关闭一些常见的安全软件，并将自己伪装成系统中的更新检查工具。

　　一、“问道窃贼5437”（Win32.Troj.OnlineGamesT.en.5437）威胁级别：★★

　　这个盗号木马具有对抗能力，它首先是给自己的数据采用加花处理，试图用大量的垃圾代码来干扰杀毒软件的工作。同时，它会搜索系统中是否有360Tray.exe，OllyDbg.exe，TQAT.exe等安全软件的模块在运行，如发现就将其关闭。

　　为达到绑架系统、阻挠查杀，该毒会利用自己的一个同名文件完全替换掉%Windows%system32目录下的mapi32.dll。如果用户在删除病毒时将已被病毒替换的mapi32.dll清除，那么系统将有可能发生崩溃。

　　当完成以上步骤，该毒就搜索并注入网络游戏《问道》的进程，读取游戏内存中的帐号和密码信息，发送到病毒作者指定的地址，给玩家造成虚拟财产的损失。

　　推荐使用金山系统急救箱和金山清理专家来清除该毒，可以进行一键删除和对系统的恢复。

　　“金山系统急救箱”下载地址http://bbs.duba.net/thread-21988813-1-1.html

　　关于该病毒的详细分析报告，可在金山病毒大百科中查阅http://vi.duba.net/virus/win32-troj-onlinegamest-en-5437-52688.html

　　二、“暴力伪装控制器118407”（Win32.Troj.OnLineGames.ad.118407）威胁级别：★

　　该毒一进入系统，就搜索并关闭safeboxTray.exe、360tray.exe等进程，它们是360保险箱的相关进程。

　　病毒把自己复制到%WINDOWS%Iasex.dll目录下，在注册表里添加自己的服务项，实现开机自启动，并将自己的服务描述为“监测和监视新硬件设备并自动更新设备驱动”。添加成功后，就开始运行，连接病毒作者指定的黑客服务器，帮助黑客控制用户电脑。

　　该毒的部分变种有盗窃网游帐号的功能。

　　关于该病毒的详细分析报告，可在金山病毒大百科中查阅http://vi.duba.net/virus/win32-troj-onlinegames-ad-118407-52689.html

　　金山反病毒工程师建议

　　1.最好安装专业的杀毒软件进行全面监控，防范日益增多的病毒。用户在安装反病毒软件之后，应将一些主要监控经常打开（如邮件监控、内存监控等）、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。

　　2.由于玩网络游戏、利用QQ等即时聊天工具交流的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，如不要登录不良网站、不要进行非法下载等，切断病毒传播的途径，不给病毒以可乘之机。