金山1.28病毒播报:传奇盗号木马强行关闭杀软盗号

　　“广告宣传单983040”（Win32.Troj.Autorun.ex.983040），这是一个木马程序变种。病毒运行后会关闭瑞星、卡巴斯基、360安全卫士等安全软件的进程.另外，病毒尝试将自身写入IE保护工具白名单，并自动点击指定网站来增加访问，它还会进行利用QQ窗口传播病毒信息、删除系统中用于存放网页地址数据的hosts文件等破坏活动。

　　“传奇盗号木马9900”（Win32.Troj.LmirT.by.9900），这是一个针对网络游戏《传奇》的盗号木马程序。它会强行关闭系统中的杀毒软件，并绕开游戏密保，然后盗取游戏的帐号和密码。

　　一、“广告宣传单983040”（Win32.Troj.Autorun.ex.983040） 威胁级别：★

　　病毒进入系统后，首先将自己的病毒文件ridiap080124.exe复制至%WINDOWS%system32目录下，并在系统盘中生成四个病毒文件，分别是%WINDOWS%目录下的ie.ini，%Documents and Settings%All Users「开始」菜单\程序启动\目录的word.lnk，%WINDOWS%system32目录下的mcdsrv16_080124.dll和mcdsrv32_080124.dll。释放完文件后，病毒就建立批处理程序，把自己的原始文件删除，使用户无法发现病毒源。

　　病毒会利用word.lnk快捷方式指向病毒主文件ridiap080124.exe来达到开机启动，然后查找“瑞星”和“卡巴斯基”等的警告窗口，如发现则模拟发送按钮消息跳过查杀。同时还注入系统桌面的进程iexplorer.exe，在进程中查找并关闭“瑞星”、“卡巴斯基”、“360安全卫士”等安全软件的进程。

　　解决掉安全软件后，病毒尝试将自身伪装成Browser Helper Objects的进程（微软IE浏览器对第三方程序员开放交互接口的业界标准），并将自己添加到IE保护工具白名单中，删除系统中用于记录网址的hosts文件，为自己接下来的破坏行为铺平道路。

　　如顺利完成以上工作，病毒便连接木马种植者指定的地址，获取一份网址信息，自动登录其中的网站，为它们增加访问和“贡献”流量。同时，它还会利用QQ窗口传播包含病毒信息的消息，扩大自己的传播范围。

　　二、“传奇盗号木马9900”（Win32.Troj.LmirT.by.9900） 威胁级别：★★

　　病毒进入用户的电脑系统后，在系统盘%WINDOWS%目录下释放出病毒文件192896M.exe和192896MM.DLL，并修改系统注册表，把自己设置为随系统启动而自动运行。

　　当病毒运行起来，会迅速查找毒霸、卡巴斯基、瑞星、360安全卫士等安全软件的进程，发现后将它们强行中止。然后在后台连接http://www.f**3.com:7*7/这个地址，下载一个名为MyUnBoundMB.uib的文件。这个动作对病毒的作案比较重要，因为该文件可帮助病毒绕开游戏密保的保护。

　　随后，病毒将之前生成的192896MM.DLL注入到系统桌面进程explorer.exe中，查找网络游戏《传奇》的进程。如果找到，就注入其中，通过读取游戏内存的方法获得帐号密码，并通过网络发送到木马种植者指定的地址，使用户遭受虚拟财产的损失。

　　金山反病毒工程师建议

　　1.最好安装专业的杀毒软件进行全面监控，防范日益增多的病毒。用户在安装反病毒软件之后，应将一些主要监控经常打开（如邮件监控、内存监控等）、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。

　　2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，及时升级杀毒软件，开启防火墙以及实时监控等功能，切断病毒传播的途径，不给病毒以可乘之机。

　　金山毒霸反病毒应急中心及时进行了病毒库更新，升级毒霸到2008年1月28的病毒库即可查杀以上病毒；如未安装金山毒霸，可以登录http://www.duba.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816，反病毒专家将为您提供帮助。