“隐身虫下载器12536”（DOS.Troj.UCC7.f.12536），这是一个vbs下载者病毒，它能通过U盘等移动存储器传播，会关闭部分杀毒软件的实时监控，并具备自动更新的功能。

　　“网游盗号木马53248”（Win32.Troj.OnlineGames.ga.53248），这是一个网游盗号木马，会盗取“浩方对战平台”、《彩虹岛》、《惊天动地》、《奇迹世界》的帐号信息，并把盗得的帐号信息发送到木马种植者指定的接收网址。

　　一、“隐身虫下载器12536”（DOS.Troj.UCC7.f.12536） 威胁级别：★★

　　病毒顺利进入用户系统后，会将自身文件“`.vbe”分别释放到系统盘的%WINDOWS%目录以及%WINDOWS%\system32\目录下。然后修改注册表，把自己的相关信息写入启动项。以便自己以后都能在用户启动电脑时跟着自动跑起来。为了躲避用户的发现，它会“顺手”将注册表中关于文件显示模式的数据修改，把自己设为不可见，达到隐身的目的。

　　随后，病毒迅速搜索杀毒软件金山毒霸和瑞星的进程，发现后立即将其强行关闭，以防止杀毒软件更新后解决掉它。

　　接着，病毒搜索中毒电脑上所有的磁盘，以及已经连接在电脑上的U盘等移动存储器，在它们的根目录下创建autorun.inf文件。这样，只要用户试图双击磁盘图标，病毒就会被立刻激活，传染更多的扇区，不断扩大自己的势力范围。

　　需要提及的是，该病毒还具有自由更新功能。它会在用户无法知晓时连接木马种植者指定的地址http：//u7.*******/u7.asp和http：//wq7s.go1.*******.com/%23.js，下载最新的版本。由于病毒作者可能赋予病毒更多的功能，因此该病毒会给中毒用户带来无法估计的损失。

　　二、“网游盗号木马53248”（Win32.Troj.OnlineGames.ga.53248） 威胁级别：★

　　病毒成功运行后，在电脑系统盘中释放两个病毒文件，分别为%WINDOWS%目录下的以下文件Kvsc3.exe，以及%WINDOWS%\system32\目录下的Kvsc3.dll。然后把自己的相关数据写入注册表启动项，使自己以后能随系统启动而启动。

　　在修改注册表的同时，病毒也会搜索瑞星杀毒软件的“注册表监控提示”窗口，如发现瑞星试图向用户报告注册表里的动静，病毒就模拟用户，发送允许指令。并随之查找瑞星的主程序，将其强行关闭。

　　当在系统中“站稳脚跟”，病毒就把之前生成的Kvsc3.dll文件注入桌面进程explorer.exe，展开全局监视，如发现“浩方对战平台”、网络游戏《彩虹岛》、《惊天动地》、《奇迹世界》的进程，就注入其中，窃取用户的帐号信息，并将它们发送到http：/ /jt*.s****jj.com/、http：/ /www.3**6*8.cn/x**q/qj等多个由木马种植者指定的邮箱，给用户造成虚拟财产的损失。

　　金山反病毒工程师建议

　　1.最好安装专业的杀毒软件进行全面监控，防范日益增多的病毒。用户在安装反病毒软件之后，应将一些主要监控经常打开（如邮件监控、内存监控等）、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。

　　2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，及时升级杀毒软件，开启防火墙以及实时监控等功能，切断病毒传播的途径，不给病毒以可乘之机。

　　金山毒霸反病毒应急中心及时进行了病毒库更新，升级毒霸到2007年12月22的病毒库即可查杀以上病毒；如未安装金山毒霸，可以登录http：//www.duba.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816，反病毒专家将为您提供帮助。

关注度: 11%

浏览次数:62

病毒预警

此条发布在 星期五, 12月 21st, 2007 at 7:54 pm 病毒预警. 您可以通过 RSS 2.0 获得最新评论. 您可以到文章末尾留言。