病毒别名：

处理时间：

威胁级别：★★

中文名称：

病毒类型：木马

影响系统：Win9x/Win2000/WinXP/Win2003

病毒行为:

编写工具： VB6

传染条件:

发作条件:

系统修改:

A.将病毒自身拷贝到 %system% 目录下，名为"winlogn.exe"，文件名看上去像系统文件"winlogon.exe"。

B.在注册表中如下位置添加键值，以便启动时自动运行。

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun

"winlogn.exe" = "%system%winlogn.exe"

C.该病毒运行后，会不断监视系统窗口，一旦出现剑侠情缘网络版的点卡充值页面，就会用病毒作者事先做好的一个假页面来替换真正的充值页面，同时隐藏充值页面的地址栏，欺骗用户，从而收集玩家的剑侠密码和充值点卡密码，导致玩家充值失败。

D.病毒收集到密码后，会将其保存在 %system%winlogn.dat，然后通过邮件发送给病毒中指定的邮箱地址。

发作现象:

特别说明:

“剑侠幽灵”（Win32.Troj.JXGhost），窃取网络游戏——“剑侠情缘网络版”的账号密码和充值点卡密码，当玩家试图为游戏账号充值时，驻留在系统中的木马会用另外一个虚假页面替换真正的充值页面，从而收集玩家的密码，导致玩家充值失败。