作者：snowlee      金山软件•珠海
　　“我刚花300 多大洋在官网买了装备啊！！DNF 被盗了！！杀软的工程师们,你们谁来帮帮我！帮我把它找回来吧！！”
　　“刹那间...我的DNF 不见了...满级的DNF！还指望他带小号呢！！还我DNF 号啊！！还我！！”
　　最近在相关游戏论坛看到很多DNF 玩家留言称自己的DNF 无故被盗，金山毒霸的反病毒分析师对此现象相当重视，马上联系了一位DNF 被盗的玩家。正是从这位用户的电脑上我们找到了玩家ID 被盗的真正原因。
　　偷盗是可耻的，所以绝大多数的盗号木马选择在月黑风高的夜晚偷偷的进行罪恶行径。它们不会出现任何界面，尽可能的不打扰用户，一切行为都无声无息。但是这个盗号木马确完全不同，大家一起看看下面这个图片。

http://att01.blog.kingsoft.com/upload/attachment/2010/0128/15/4b61398d5af11.jpg

　　　　　　　　　　　　　　　　　　　图1-1 木马伪造的DNF 登陆器
　　DNF 的玩家一定对这个图片再熟悉不过了，很像DNF 的登录器，但事实上它只是一个带了DNF 面具的盗号木马，也就是我们的罪魁祸首！它最大的特点就是伪造选区，登录，防钓鱼网站等一切游戏登录前的界面。
　　木马首先检查用户电脑上是否安装了DNF 客户端，如果用户已经安装DNF 则用自己的木马程序替换真正的DNF 程序（DNFchina.exe）并将真正的DNF 删除。如用用户没有安装则暗地里下载木马到用户机器，当用户双击伪造的DNF 登陆器并输入自己的用户名和密码时，木马就会将用户信息提交到指定网址，完成盗号的任务。
　　既然木马把界面做得如此逼真，要怎样区别哪个是真正的DNF 登录程序哪个是木马伪造的呢？下来我们就来认真辨别一下。
　　1.首先查看DNF 客户端的属性，木马界面虽然伪造得很逼真但却忽略了数字签名，真正的DNF 客户端是有数字签名的而木马没有。

http://att01.blog.kingsoft.com/upload/attachment/2010/0128/15/4b6139a2bc555.jpg

　　　　　　　　　　　　　　　　　　　　　图2-1 真正的DNF 客户端

http://att01.blog.kingsoft.com/upload/attachment/2010/0128/15/4b6139d11dae1.jpg

　　　　　　　　　　　　　　　　　　　　图2-1 伪造的DNF 木马

　　2.在选择大区/服务器界面中，真正的DNF 登陆器的服务器状态（空闲/繁忙/拥挤/维护）是实时获取的，每次登录会因为各服务器情况有所不同，而DNF 木马在该页面只是静态的贴了一张图片，每个服务器的状态永远一样。

http://att01.blog.kingsoft.com/upload/attachment/2010/0128/15/4b613a013689c.jpg

　　　　　　　　　　　　　　　　　　　图3-1 木马伪造的服务器状态界面
　　3.木马伪造“防钓鱼检查”网址。
　　真正DNF 的防钓鱼网站是：gamesafe.qq.com
　　而DNF 木马的钓鱼网站是：gamesafe-qq.com /gamesafeqq.8800.org

http://att01.blog.kingsoft.com/upload/attachment/2010/0128/15/4b613a159ae7d.jpg

　　　　　　　　　　　　　　　　　　　　图4-1 木马伪造防钓鱼检查

　　要怎样才能从最根本上杜绝自己的电脑不受木马病毒的危害呢？金山的病毒工程师建议您：

　　防御方案：
　　1.安装金山毒霸2009 增强版或金山毒霸2010 并升级到最新版本病毒库,开启文件实时监控即可防御该病毒入侵系统。
　　下载地址http://www.duba.net/download/index.shtml
　　2.安装全功能永久免费的金山网盾可以很好的防御现有漏洞攻击方式，护航网络冲浪。
　　下载地址http://wd.duba.net

　　查杀方案：
　　1.如果你的电脑已经中招，可以下载免费的金山急救箱并升级到最新版本进行未知木马清除。
　　下载地址http://labs.duba.net/jjx.shtml
　　2.安装金山毒霸2009 或金山毒霸2010 升级到最新版本病毒库,进行查杀。