06.03病毒预警：“AUTO键盘记录员” 监视用户键盘操作

　　“海量下载器1454080”（Win32.Hack.Huigezi.1454080），这是一个下载器病毒。它会伪装为视频文件，当用户点击后就向所有磁盘分区下复制自己，并修改系统日期，造成部分杀毒软件失效。然后下载大量其它病毒到用户电脑中运行。

　　“AUTO键盘记录员77824”（Win32.Troj.Agent.lm.77824），这是一个键盘记录器病毒。它利用U盘等移动存储器来进行传播，进入用户电脑后会修改注册表实现自启动，然后记录用户的键盘操作。

　　一、“海量下载器1454080”（Win32.Hack.Huigezi.1454080） 威胁级别：★★

　　这个下载器的狡猾之处在于，它会伪装成多种视频文件的格式，骗取用户点击，以实现运行。

　　病毒在系统的临时目录的%Temp%WER8748.dir00文件夹中释放出病毒文件mstsc.exe.hdmp和mstsc.exe.mdmp，同时将另两个病毒文件Se101.exe 和_Se101.exe释放到%Program Files%Common FilesMicrosoft SharedMSInfo目录中。此外，它还会把自己复制到全部的磁盘分区目录下。然后，就利用cmd命令删除自身原始文件，防止用户发现它的痕迹。

　　同时，病毒修改注册表，实现开机自启动。在这个过程中，它会修改系统时间为过去的随机时间，使得一些依赖系统时间来进行激活和升级的杀毒软件失效。在成功运行起来后，病毒就悄悄连接病毒作者指定的远程地址，下载大量的病毒列表，再根据列表中的地址去下载数量惊人的其它病毒文件。

　　经毒霸反病毒工程师检查，这些病毒大部分为网游盗号木马。当它们进入用户系统后就会迅速运行起来，大量占用系统资源，导致电脑运行越来越慢，甚至造成死机。

　　关于该病毒的详细分析报告，可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-hack-huigezi-1454080-50643.html

　　二、“AUTO键盘记录员77824”（Win32.Troj.Agent.lm.77824） 威胁级别：★

　　病毒在系统盘的%WINDOWS%system32目录和%WINDOWS%system32drivers目录下释放出三个随机命名的病毒文件，三个文件同名，但分别为exe格式、dll格式、sys格式。这就可以作为识别该病毒的一个依据。

　　接着，病毒修改系统注册表启动项，实现开机自启动，如果它运行起来，就会对键盘进行监视，记录下用户的操作。

　　为扩散自己的传播范围，病毒会搜索包括U盘等移动存储器在内的全部磁盘分区，把自己的exe文件和一个Autorun.inf文件释放到其中。

　　最后，病毒使用cmd命令删除自己的原始文件，防止用户发现系统中出现多余的文件。

　　关于该病毒的详细分析报告，可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-troj-agent-lm-77824-50644.html

　　金山反病毒工程师建议

　　1.最好安装专业的杀毒软件进行全面监控，防范日益增多的病毒。用户在安装反病毒软件之后，应将一些主要监控经常打开（如邮件监控、内存监控等）、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。

　　2.由于玩网络游戏、利用QQ等即时聊天工具交流的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，如不要登录不良网站、不要进行非法下载等，切断病毒传播的途径，不给病毒以可乘之机。

　　金山毒霸反病毒应急中心及时进行了病毒库更新，升级毒霸到2008年6月3的病毒库即可查杀以上病毒；如未安装金山毒霸，可以登录http://www.duba.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816，反病毒专家将为您提供帮助。