24日病毒预报：谨防抗杀软能力的网游盗号木马

　　一、明日高危病毒简介及中毒现象描述：

　　◆“QQ幻想盗号木马65697”这是个具备一定对抗杀软能力的网游盗号木马。它在进入系统后，会立即抢先搜索卡巴斯基的警告窗口和瑞星的注册表监控提示窗口，防止卡巴和瑞星向用户报告系统异常。此后，它每隔1毫秒的时间，就重复一次搜索，确保卡巴和瑞星永远都无法向用户发出警告。

　　与此同时，该毒会在系统中释放出两个病毒文件，分别为%WINDOWS%目录下的病毒主文件mfchlp.exe，以及%WINDOWS%\system32\目录下负责盗号的mfchlp.dll。前者会被写入系统注册表，以实现开机自启动，而后者则负责注入系统桌面进程explorer.exe，查找网络游戏《QQ幻想》的进程。

　　Mfchlp.dll会试图通过全局监视程序，注入到所有进程中，通过读取它们的相关函数来找到《QQ幻想》的进程文件qqffo.exe，读写其内存，获取网络游戏账号和密码以及其它私人信息，然后通过网络收信空间发给木马作者，给用户造成虚拟财产的损失。

　　关于该病毒的详细分析报告，可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-troj-onlinegamet-bd-65697-50557.html

　　◆“伏特加感染下载器81920”这个盗号木马同样具备一定的对抗杀软能力。它进入系统后会先检测用户电脑里是否有杀毒软件“卡巴斯基”，如果有，便通过修改系统时间为1984年的办法，让依赖系统时间进行激活和升级的卡巴失效。在这个过程中，如果用户电脑中有其它软件也是要依赖系统时间的，那它们也同样会受到影响。

　　接着，病毒在系统盘根目录下释放出病毒文件avp.exe，在%Program Files%目录下释放出下载列表ver.txt，然后开始运行，根据列表中的地址去下载更多其它的病毒文件，以及获取最新的下载列表。此处需注意，这个由病毒释放出的avp.exe文件，与卡巴斯基的执行文件名称一样，具有一定的伪装性，但因为是出现在系统盘根目录下，就可以以此来识别它。

　　除了在本机上进行下载，该病毒还会感染中毒电脑上的全部EXE可执行文件，如果用户将它们拷贝到别的电脑上，病毒就可以实现扩散。当用户启动这些被感染的文件时，病毒就会启动，从病毒作者指定的远程服务器http://fff.t***kl.info/下载最新版本的自己和下载列表，然后循环以上的过程。

　　根据毒霸反病毒工程师的分析，该毒下载的其它病毒中，绝大部分是针对网络游戏以及用户隐私资料的盗号木马，如果该毒能在用户电脑里顺利运行，那么将引发无法估计的更大损失。

　　关于该病毒的详细分析报告，可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-trojdownloader-delf-81920-50558.html

　　◆“李代桃僵”该病毒为木马，病毒运行后释放病毒到当前运行路径下创建1.inc文件，在系统目录下创建_uninsep.bat删除1.inc文件。并回写文件到系统盘符的All Users用户文件夹下启动中，目的是达到任意用户登陆系统运行病毒文件。映像劫持多种反病毒软件和系统监视软件。当释放的QQgame.exe文件随系统启动后会连接网络下载新的病毒文件，窃取用户信息。由于下载大量病毒文件，给病毒的清理带来了极大的不便。建议用户即使更新防病毒软件的病毒库，以防止病毒的入侵。改病毒有一定的潜伏期，建议用户定期为系统进行扫描，在病毒没有发作之前就进行防御。

　　◆“疯狂下载者”该病毒为蠕虫病毒，病毒运行后，获取本地时间,病毒通过调用Process32Next函数遍历进程搜索"AVP.EXE"安全软件进程,如果存在则把系统时间修改成2001年, 目的使卡巴主动失效，查找svchost.exe进程，通过GetProcessMemory读取内存空间，查到该进程后申请内存空间并创建进程，连接网络下载大量恶意文件；扫描用户所在网络，若发现存在默认共享或弱口令则传播自身。

　　二、针对以上病毒，51CTO安全频道建议广大用户：

　　1、最好安装专业的杀毒软件进行全面监控并及时升级病毒代码库。建议用户将一些主要监控经常打开，如邮件监控、内存监控等，目的是防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。

　　2、请勿随意打开邮件中的附件，尤其是来历不明的邮件。企业级用户可在通用的邮件服务器平台开启监控系统，在邮件网关处拦截病毒，确保邮件客户端的安全。

　　3、企业级用户应及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒。另外为保证企业信息安全，应关闭共享目录并为管理员帐户设置强口令，不要将管理员口令设置为空或过于简单的密码。

　　截至记者发稿时止，金山、安天的病毒库均已更新，并能查杀上述病毒。感谢金山毒霸、安天为51CTO安全频道提供病毒信息。