其方法仍然是老得不能再老的网页木马、登陆器木马类的方法，在妳计算机里种下马儿，然后通过键盘记录等方式，将妳账号及其密码发至盗号者邮箱、或者直接发至待服数据库……

　　最新的瑞星（2006-02-24更新），仍然对这种木马没有建立数据库，所以在线监控不会查到，所以大家别以为这样就安全了，一切小心，不要沦为不法分子的试用工具！！

　　首先在建邺看到二个小号在那里发广告，记下其网址，分别为：www.778mh.com与www.169wg.com；

　　然后在MS-DOS对二个网址作一个PING的测试，结果如下：

　　____________________________________________________________________

　　Pingingwww.778mh.com[60.190.127.76]with32bytesofdata:

　　Replyfrom60.190.127.76:bytes=32time=40msTTL=114

　　Replyfrom60.190.127.76:bytes=32time=41msTTL=114

　　Replyfrom60.190.127.76:bytes=32time=40msTTL=114

　　Replyfrom60.190.127.76:bytes=32time=40msTTL=114

　　Pingstatisticsfor60.190.127.76:

　　Packets:Sent=4,Received=4,Lost=0(0%loss),

　　Approximateroundtriptimesinmilli-seconds:

　　Minimum=40ms,Maximum=41ms,Average=40ms

　　____________________________________________________________________

　　Pingingwww.169wg.com[60.190.127.76]with32bytesofdata:

　　Replyfrom60.190.127.76:bytes=32time=40msTTL=114

　　Replyfrom60.190.127.76:bytes=32time=39msTTL=114

　　Replyfrom60.190.127.76:bytes=32time=40msTTL=114

　　Replyfrom60.190.127.76:bytes=32time=40msTTL=114

　　Pingstatisticsfor60.190.127.76:

　　Packets:Sent=4,Received=4,Lost=0(0%loss),

　　Approximateroundtriptimesinmilli-seconds:

　　Minimum=39ms,Maximum=40ms,Average=39ms

　　____________________________________________________________________

　　由如上条件可得知几个信息：

　　1、这二个站都是同一个服务器，也就是说很可能是一个团体搞的，IP为：60.190.127.76；

　　2、通过PING的测试的TTL值可以得知服务器应该为WINDOWSNT/2K一类的主机，因为如果是UNIX类的值应该是255，而且IP是可以与本地联接上的，但有些通过修改注册表，TTL值也可以修改的，所以说这个只能判断个大概；

　　3、查到IP地址为：“ID:1379IP:60.190.71.11-60.190.128.255国家:浙江省地区:电信”；

　　4、查到其官方IP信息为如下信息：

　　60.190.127.76

　　BlacklistStatus:Clear

　　CachedWhois:Cachedtoday

　　RecordType:IPAddress

　　IPLocation:China-YunheTheNetworkGameTests

　　ReverseIP:Webserverhosts6websites(reverseiptoolrequiresfreelogin)

　　ReverseDNS:notset

　　--------------------------------------------------------------------------------

　　inetnum:60.190.127.72-60.190.127.79

　　netname:YUNHE-NETWORK-COLTD

　　country:CN

　　descr:YunheTheNetworkGameTests

　　descr:

　　admin-c:JW831-AP

　　tech-c:CL59-AP

　　status:ASSIGNEDNON-PORTABLE

　　changed:20050720

　　mnt-by:MAINT-CN-CHINANET-ZJ-LS

　　source:APNIC

　　role:CHINANET-ZJLishui

　　address:No.466LiqingRoad,Lishui,Zhejiang.323000

　　country:CN

　　phone:+86-578-2179009

　　fax-no:+86-578-2179013

　　e-mail:

　　trouble:sendspamreportsto

　　trouble:andabusereportsto

　　trouble:PleaseincludedetailedinformationandtimesinUTC

　　admin-c:CH103-AP

　　tech-c:CH103-AP

　　nic-hdl:CL59-AP

　　mnt-by:MAINT-CHINANET-ZJ

　　changed:20031204

　　source:APNIC

　　person:JunWang

　　nic-hdl:JW831-AP

　　e-mail:

　　address:ZhongshanStreet,Yunhe,Lishui,Zhejiang.Postcode:323600

　　phone:+86-13017930288

　　country:CN

　　changed:20050720

　　mnt-by:MAINT-CN-CHINANET-ZJ-LS

　　source:APNIC

　　——————————————————————————————————————————

　　5、由“60.190.127.72-60.190.127.79”可知，这可能是一个服务器组；60.190.127.76只是其中一个……

　　6、直接输入：“60.190.127.76”访问，杀毒软件立刻跳出信息，如图所示：

　　7、该IP：60.190.127.76为传奇世界所谓的4。F，其病毒名查出为：Trojan.PSW.Woool.b

　　病毒详细情况如下：

　　病毒分类WINDOWS下的PE病毒

　　病毒名称Trojan.PSW.Woool.b

　　行为类型WINDOWS下的木马程序感染

　　病毒发作偷取网络游戏"传奇世界"的木马程序

　　由如上数据得知，此病毒为盗取传奇世界的木马程序，至于下属二个网站“www.778mh.com与www.169wg.com”想必不说大家也知道了吧！　　

我鄙视骗子啊 鄙视骗子啊 骗子死全家啊 骗子死全家啊