23日病毒预报：小心盗号木马进行作案

　　安全频道今日提醒您注意：在今天的病毒中"西游盗贼"变种mf、"神秘鬼"变种ia、"广告连接器60718"、"木马下载器29696"、"盗窃者abzm"和"盗窃者acsr"都值得关注。

　　一、今日高危病毒简介及中毒现象描述：

　　◆"西游盗贼"变种mf是"西游盗贼"木马家族的最新成员之一，采用高级语言编写，并经过添加保护壳处理。"西游盗贼"变种mf运行后，查找被感染计算机系统中是否存在《大话西游3》网络游戏客户端程序，如果存在，修改游戏文件，将恶意代码写入"fmodex.dll"文件中，致使用户启动《大话西游3》运行时，会自动运行"西游盗贼"变种mf写入的恶意代码。"西游盗贼"变种mf采用HOOK技术和内存截取技术，盗取网络游戏《大话西游3》玩家的游戏帐号、游戏密码、身上装备、背包装备、角色等级、游戏区服、计算机名称等信息，并在被感染计算机的后台将窃取到的玩家游戏帐号信息发送到骇客指定的远程服务器站点上，造成玩家的游戏帐号、装备物品、金钱等丢失。在被感染计算机系统的后台连接骇客指定的服务器站点，下载恶意程序并在被感染计算机上自动运行。其中，所下载的恶意程序可能包含网游木马、恶意广告程序、后门等，给用户带来不同程度的损失。另外，"西游盗贼"变种mf最后会自我删除，消除痕迹。

　　◆"神秘鬼"变种ia是"神秘鬼"木马家族的最新成员之一，采用高级语言编写，并经过添加保护壳处理。"神秘鬼"变种ia运行后，强行篡改注册表，降低浏览器的安全设置。在后台秘密收集被感染计算机的信息，以表单的形式提交到骇客指定的服务器站点上。在被感染计算机的后台连接骇客指定站点，下载数十个恶意程序，保存在系统盘根目录下，并在被感染计算机上自动调用运行。其中，所下载的恶意程序可能包含网游木马、恶意广告程序、后门等，给用户带来不同程度的损失。另外，"神秘鬼"变种ia在完成下载、安装的后会自删除，消除痕迹。

　　◆"广告连接器60718" 这个广告程序近来变种数量较多。毒霸反病毒工程师检查后发现，它对系统没有明显的破坏行为，但会令电脑弹出广告网页窗口，十分烦人。

　　该毒进入用户系统后，将自己的文件adionalcoo.ini、ipvanjurmlzew.dll、IPVANJ~1.DLL释放到系统盘%WINDOWS%SYSTEM32目录下，并修改注册表，把自己与桌面文件进程写到一起，使得自己可以随着系统桌面的启动而一同运行起来。

　　当成功跑起来，病毒就在后台悄悄连接病毒作者指定的远程地址www.2***p.cn，通过弹出IE窗口，将这些网址展现出来，迫使用户浏览，这是一种明显的广告行为。此外，病毒作者可随时给此病毒设计新的功能，通过自动更新添加给用户电脑中的该毒。

　　此外，在该毒的其它变种中，还发现有远程控制、非法下载等行为，不过毒霸可以完全查杀它们，已安装毒霸的电脑用户不必担心。

　　◆"木马下载器29696" 该毒在用户电脑里释放出的文件较多，这些文件主要集中在%WINDOWS%目录下，除Function.dll和jy 001.jpg外，其余文件都是随机命名。另外，在%WINDOWS%SYSTEM32rqn目录下，还有个lsass.exe文件。

　　这个lsass.exe是病毒主文件，会被写入系统注册表，帮助病毒实现开机自启动。如果能成功运行起来，它就会调用之前释放出的其它病毒文件，执行下载任务。

　　病毒中自带得有多个不同的网址，这些网址上存放着若干下载列表，病毒可以下载这些列表，再根据其中的地址下载更多的其它木马文件。根据目前下载器的流行趋势，毒霸反病毒工程师认为，这些文件很有可能是网游或网银的盗号木马。

　　◆"盗窃者abzm" 该病毒为盗窃网络游戏"风火之旅"账号的木马。病毒运行后，复制自身到%WinDir%下，衍生病毒文件huifitc.dll到%System32%下；添加启动项，以达到随机启动的目的；病毒试图通过全局挂钩把huifitc.dll注入到所有进程中，遍历所有进程，发现有fjlogin.exe进程，便注入其中并监视其进程，通过截获当前用户的键盘和鼠标消息以获取网络游戏"风火之旅"的账号及密码，发送到病毒作者指定的URL；该病毒在实现完自身代码后，会结束自身进程，删除自身文件。

　　◆"盗窃者acsr" 该病毒属于木马类，病毒运行后复制自身到%Temp%目录下， 更名为tru1.tmp，在各个驱动器根目录下衍生du08sout.cmd和autorun.inf文件，以达到用户双击盘符运行病毒的目的；衍生文件到%System32%目录下，将衍生文件加载到Explorer.exe进程；修改注册表创建启动项，使病毒文件随机运行；修改注册表，使用户无法显示隐藏文件；为各个盘符设置打开方式；连接网络下载病毒文件，执行下载的病毒文件时加载动态链接库文件到桌面进程时，将导致桌面进程崩溃；病毒运行完毕后删除自身。