“破防盗号者98396”（Win32.Troj.OnlineGamesT.nr.98396），这是一个盗取多款网游密码的盗号木马。该木马会突破杀毒软件的主动防御，关闭杀毒软件进程。注入游戏进程，从中读取游戏玩家的帐号信息，然后发送给木马种植者。

　　“木马下载者959488”（Win32.Troj.DownLoaderT.xy.959488），该木马伪装成Skype的安装程序，运行后，复制自身到系统文件夹，在注册表中添加Browser Helper Objects(BHO)项，在系统启动后随Exporer.exe启动，通过DLL注入到Explorer.exe，在网络可用时下载大量木马病毒，下载的木马病毒等会破坏用户系统并盗取信息。

　　一、“破防盗号者98396”（Win32.Troj.OnlineGamesT.nr.98396） 威胁级别：★★

　　病毒进入用户的电脑系统后，在系统盘中释放出两个病毒文件，分别为%WINDOWS%\system32\下的naijoad.dll和%WINDOWS%\system32\drivers\目录下的msacpe.sys。接着，它修改注册表中的相关数据，使自己可以在开机后自动运行。

　　病毒释放出的文件各有分工。其中，Msacpe.sys在运行后会查找目前电脑上安装的杀毒软件，并帮助病毒突破杀毒软件的主动防御，而naijoad.dll被注入到系统的每个进程，搜索作案对象。它的作案对象是《奇迹世界》，《魔兽世界》，《大话西游》等多款网络游戏。

　　当病毒运行起来后，它就会读取配置文件，并根据配置文件中的信息不断注入进程，搜索并盗取游戏的帐号，最后发送盗取的信息到木马种植者指定网站，给游戏玩家造成虚拟财产的损失。

　　二、“木马下载者959488”（Win32.Troj.DownLoaderT.xy.959488） 威胁级别：★

　　病毒进入电脑系统后，会在系统盘中释放出4个病毒文件，分别是%WINDOWS%目录下的akbsertts.dll，以及%WINDOWS%\system32\目录下的esjok.ini、skype.exe、xjlclzvskvwde.dll。随后，它修改注册表中的相关数据，将自己设置为随系统启动而启动。

　　该木马的主程序文件名skype.exe与Skype的程序同名，而且它在注册表中添加自己时，是伪装成Browser Helper Objects(BHO，简单地说，是IE浏览器的一种第三方协议技术)项。这样，就具备一定的迷惑性，容易骗过用户。

　　当它随系统桌面进程Exporer.exe启动后，就会注入到Explorer.exe，利用该进程空间运行自己，以避免被用户发现。然后就在网络可用时连接木马种植者指定的远程服务器http://www.e-**k.cn，下载大量其它病毒，而这些病毒会破坏用户系统，并盗取敏感信息，给用户造成无法估计的损失。

　　金山反病毒工程师建议

　　1.最好安装专业的杀毒软件进行全面监控，防范日益增多的病毒。用户在安装反病毒软件之后，应将一些主要监控经常打开（如邮件监控、内存监控等）、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。

　　2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，及时升级杀毒软件，开启防火墙以及实时监控等功能，切断病毒传播的途径，不给病毒以可乘之机。

　　金山毒霸反病毒应急中心及时进行了病毒库更新，升级毒霸到2008年2月15的病毒库即可查杀以上病毒；如未安装金山毒霸，可以登录http://www.duba.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816，反病毒专家将为您提供帮助。

关注度: 6%

浏览次数:62

木马下载者, 病毒预警, 破防盗号者

此条发布在 星期五, 02月 15th, 2008 at 11:33 am 病毒预警. 您可以通过 RSS 2.0 获得最新评论. 您可以到文章末尾留言。