“网游盗号木马61440”（Win32.PSWTroj.OnlineGames.61440），这是一个盗号木马。它会盗取网络游戏《魔域》、《惊天地动》、《彩虹岛》以及“浩方对战平台”的帐号信息，并发送到木马种植者指定的接收地址。每次重启系统后，病毒的主程序文件都会自动重命名，以便迷惑用户。

　　“木马下载器81920”（Win32.Troj.Autorun.hx.81920），这是一个下载者病毒。通过修改系统时间使“卡巴斯基”等依赖系统时间进行激活和升级的杀毒软件失效，同时模拟用户发送指令，以通过安全软件的警告提示。之后，它就从后台下载大量木马程序保存至系统上并运行。

　　一、“网游盗号木马61440”（Win32.PSWTroj.OnlineGames.61440） 威胁级别：★

　　病毒进入系统后，在系统盘中生成两个病毒文件，分别是%WINDOWS%目录下的mukfza.exe和%WINDOWS%\system32\下的Genprotect.dll。随后，它修改注册表启动项，将mukfza.exe这个病毒主程序的相关数据加入其中，使得自己能在以后每次用户启动系统时自动运行起来。

　　当运行起来后，病毒会立即搜索杀毒软件卡巴斯基和瑞星的警告提示窗口，如发现卡巴和瑞星试图向用户报告系统中的异常，就抢先模拟用户发送允许指令，通过安全验证。

　　紧接着，病毒将之前生成的Genprotect.dll病毒文件注入系统桌面进程Explorer.exe，查找并注入网络游戏《魔域》、《惊天地动》、《彩虹岛》和“浩方对战平台”的进程，通过内存读写的方式窃取用户的帐号密码，并悄悄建立远程连接，将其发送到木马种植者指定地址。

　　需要注意的是，该病毒在首次运行时生成的主程序路径为 “%WINDOWS%\Genprotect.exe”，但重启后，病毒会把该文件和其注册表启动项也修改，以模糊用户的判断，使得用户即便知道中了毒，也无法查出“罪魁祸首”。不过，该病毒文件在注册表启动项的 Value 值不变，对于偏好手动杀毒的用户来说，就可通过查找该 Value 指向的路径，把病毒文件彻底删除。

　　二、“木马下载器81920”（Win32.Troj.Autorun.hx.81920） 威胁级别：★

　　病毒进入电脑系统后，在系统盘的%WINDOWS%\system32\目录下释放出病毒文件serdst.exe，并将自己的相关数据加入系统注册表的启动项，实现开机自启动之目的。为了躲避用户的检查，它会进行一些伪装，如果用户查看它的属性，会看到到其描述为“为即插即用设备提供支持”，原来它是把自己伪装成USB驱动了。

　　顺利运行起来后，病毒会搜索系统中是否安装得有杀毒软件“卡巴斯基”，如有，则修改系统时间为1981-01-12，造成卡巴斯基失效。同时病毒也查找系统中是否安装有“瑞星”杀毒软件，如有，就会抢先模拟用户向瑞星的IE防漏墙发出指令，允许病毒操作。接着，病毒在全部磁盘分区中生成AUTO病毒文件，此后，只要用户在中毒电脑上使用U盘等移动存储器，病毒就会立即将其传染，借以扩大自己的传播范围。

　　当解决掉杀毒软件，病毒就在用户无法知晓的情况下建立远程连接，从http:/ /d**n.18*d.net/这一由木马种植者指定的地址下载近20个其它木马程序，这些木马程序为以0~20命名的EXE格式文件。由于木马品种多样，当它们在电脑中运行起来后，用户的电脑系统、虚拟财产，甚至个人隐私都将受到无法估计的威胁。

　　金山反病毒工程师建议

　　1.最好安装专业的杀毒软件进行全面监控，防范日益增多的病毒。用户在安装反病毒软件之后，应将一些主要监控经常打开（如邮件监控、内存监控等）、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。

　　2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，及时升级杀毒软件，开启防火墙以及实时监控等功能，切断病毒传播的途径，不给病毒以可乘之机。

　　金山毒霸反病毒应急中心及时进行了病毒库更新，升级毒霸到2008年2月6的病毒库即可查杀以上病毒；如未安装金山毒霸，可以登录http://www.duba.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816，反病毒专家将为您提供帮助。

关注度: 6%

浏览次数:88

木马下载器, 病毒预警, 网游盗号木马

此条发布在 星期三, 02月 6th, 2008 at 11:02 am 病毒预警. 您可以通过 RSS 2.0 获得最新评论. 您可以到文章末尾留言。