警惕木马下载器和网游盗号木马

　　“杀软克星下载器835072”(Win32.Troj.BlackcsT.a.835072)，这是一个木马下载器。它运行后会映像劫持大部分的安全软件，造成用户电脑失去保护。同时病毒注入系统文件，利用其空间运行自己，从网上下载更多其它病毒到中毒电脑上运行。

　　“天龙盗号木马90112”(Win32.Troj.OnlineGameT.uv.90112)，这是一个针对网络游戏《天龙八部》的盗号木马。它会关闭电脑系统的自动更新和防火墙功能，并盗取游戏的帐号信息，发送至木马种植者指定的接收网址。

　　一、“杀软克星下载器835072”(Win32.Troj.BlackcsT.a.835072) 威胁级别：★

　　病毒进入系统后，在系统盘的%WINDOWS%\system32\目录下生成病毒文件api32.exe、Autorun.inf、svchost.dll 、urls.dll，然后修改注册表，实现随系统自动启动之目的。同时，病毒会劫持目前知名度较高的安全软件，包括毒霸、诺顿、卡巴斯基、瑞星、冰刃、木马克星、360安全卫士、Windows木马清道夫、Merijn Hijackthis浏览器配置监视程序、绿鹰PC万能精灵、Anti ARP Sniffer等在内的数十款计算机安全产品均是此病毒的劫持目标。如果劫持成功，这些软件都将无法正常运行，当用户运行它们时，只会不断激活病毒。而失去安全软件保护的电脑，会极易受到来自网络的攻击。

　　当病毒成功运行起来，会把之前生成的svchost.dll文件注入到Windows系统的登陆管理器进程winlogon.exe中，利用此进程的空间来运行自己，这样用户就不容易发现它。

　　病毒悄悄建立远程连接，从http://www.b*a*k*8.net/这个由木马种植者指定的地址下载最新的木马地址列表文件，将其保存到%WINDOWS%目录下的exe.sys文件。随后，病毒便根据该列表去下载更多的其它病毒，并将它们也保存到%WINDOWS%目录下运行。

　　由于被下载下来的病毒种类多样，用户的系统安全、个人隐私将受到无法估计的威胁。

　　二、“天龙盗号木马90112”(Win32.Troj.OnlineGameT.uv.90112) 威胁级别：★★

　　病毒进入用户电脑系统后，在将病毒文件WinFormA6.dll、WinFormA6.exe、WinFormA6.ini释放到系统盘的%WINDOWS%\system32\目录下。然后，它修改系统注册表，把自己的相关数据加入其中，达到随系统启动而自动运行之目的。同时，为防止系统升级后具备查杀它的能力，以及便于其下一步的破坏活动，病毒会破坏系统的自动更新和防火墙功能，并建立一个.bat 格式的批处理程序，将%WINDOWS%\system32\目录下一个名为 verclsid.exe 的安全更新文件删除。

　　当病毒运行起来，它就会将之前生成的WinFormA6.dll文件注入系统进程explorer.exe 中，搜索网络游戏《天龙八部》的进程game.exe。由于“game.exe”这个文件名被许多游戏同时采纳，病毒在注入该文件后，会判断其是否为《天龙八部》的进程，如果不是，便自动退出。如是，则展开监视，并伺机偷取用户的帐号密码等信息。如顺利得手，病毒便悄悄建立远程连接，把赃物发送到“http://www.w**g.net.cn/tl**ngkuai/9898.asp”这个由木马种植者安排的地址，给用户造成虚拟财产的损失。

　　反病毒专家建议

　　1.最好安装专业的杀毒软件进行全面监控，防范日益增多的病毒。用户在安装反病毒软件之后，应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。

　　2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，及时升级杀毒软件，开启防火墙以及实时监控等功能，切断病毒传播的途径，不给病毒以可乘之机。