「武裝下載器」關閉系統自帶錯誤報告服務

【賽迪網-IT技術報道】本周(2008年4月21日至2008年4月27日)重點關注病毒「武裝下載器69632」（Win32.Troj.DownLoaderT.dl.69632）。

「武裝下載器69632」（Win32.Troj.DownLoaderT.dl.69632） 威脅級別：★★

具備對抗殺毒軟體功能的下載器依然層出不窮，只要做木馬能帶來暴利，病毒作者們總會樂不知疲地研究入侵他人電腦的技術。

這個病毒進入系統後，會立即篡改註冊表，關閉系統自帶的錯誤報告服務(ERSvc)，這樣一來，無論它接下去如何做小動作，系統都無法向用戶報告異常。當然，僅僅關閉系統自身服務是不夠的，病毒還得對付殺毒軟體。因此，該毒接下來就會修改系統時間為2005年，讓所有依賴系統時間進行激活和升級的殺毒軟體失效。該毒也會嘗試搜索毒霸的進程，向其「操作」菜單發送「退出」命令，不過經檢查，這一動作無法實現。

在解除電腦武裝的同時，病毒修改註冊表，將自己設置為啟動項，實現開機自動運行。如果注意檢查註冊表，可發現病毒啟動項的服務名稱、顯示名稱、描述都為dd33gsd2。習慣手動查殺的用戶，可以根據這一線索清除病毒。

最後，病毒連接病毒作者指定的遠程地址http://al**a.ve**nx.cn/，下載木馬地址列表，再根據其中的信息下載大量其它病毒到用戶電腦中運行，引發更多的破壞。

此外，為擴大傳播範圍，病毒會在系統盤根目錄下生成AUTO病毒文件auto.exe和autorun.inf，只要用戶在中毒電腦上使用USB隨身碟等移動儲存設備，病毒就會傳染上去。

此外值得關注病毒

「鍵盤記錄員108627」（Win32.PSWTroj.OnLineGames.xn.108627） 威脅級別：★★

此篇預警播報中的病毒，是一個非常貪心的木馬程序。它不僅僅是竊取網絡遊戲的賬號，任何輸入電腦的資料都會被它悉數盜走。

木馬在系統中釋放完文件後，首先會修改SSDT(系統服務調度表)，從而解除各種具有主動防禦功能的殺毒軟體的武裝。然後，它修改註冊表中的相關資料，把病毒文件屬性設置為「系統」、「隱藏」和「只讀」，並將顯示模式鎖定為隱藏，讓用戶無法發現病毒文件。

接下來，病毒啟動監視程序，監視用戶的鼠標、鍵盤操作，從而記錄下用戶操作電腦時輸入的各種信息。並每隔一段時間，就將這些偷到的信息加密，以郵件的形式通過SMTP通信協議和網頁收信空間發送給木馬作者。所謂的SMTP，是一種可以免除驗證的通訊方式，能為WINDOWS系統用戶之間的通訊提供便利，但也因此而被一些病毒作者所利用。

由於是採取完整的鍵盤記錄，用戶在中毒電腦上輸入的所有信息都會被病毒作者所掌握。他只需經過簡單的分析和篩選，便可從中找到用戶輸入的各種賬號和密碼，甚至可以掌握用戶的個人隱私。

習慣手動查殺的用戶，請留意病毒釋放出的以下文件，分別為%WINDOWS%/system32/目錄下的mmvo.exe和mmvo0.dll，以及系統臨時目錄%Temp%中的一個隨機命名的.dll格式文件。一定要將它們清除，系統才可恢復正常。

「大胃王盜號者57344」（PE.Win32.PSWTroj.OnLineGames.ai.57344） 威脅級別：★

這個盜號木馬的作案目標非常之廣，所有在進程窗口中包含有「遊戲」字樣的網絡遊戲，都是它的作案對象，只要它能在用戶電腦中順利運行起來，便可以如同大胃王一般將用戶電腦中的遊戲賬號悉數吞吃。

病毒在進入系統後立即在系統盤中釋放出兩個病毒文件，分別為%WINDOWS%/目錄下的winform.exe和%WINDOWS%/temp/目錄下的winform.dll。其中winform.exe是病毒的主文件，它的相關資料會被寫入系統註冊表，以實現開機自啟動。而winform.dll則負責注入系統桌面進程，在其中查找進程窗口中帶有「遊戲」字樣的程序，如果發現，就注入遊戲的記憶體空間，讀取賬號和密碼資料。習慣手動查殺的用戶，請留意這兩個文件，只要刪除它們，再清理乾淨註冊表，就能清除該毒了。

作案成功後，賬號信息會被發送到病毒作者指定的地址，給用戶造成虛擬財產的損失。不過由於技術含量不高，大部分安全軟體都可以查殺它。但由於此類病毒近日出現頻率較高，因此發出預警，向廣大用戶作為通報。

金山毒霸反病毒工程師建議

1.請及時更新您的殺毒軟體，網絡版可以通過控制台執行全網升級。

2.建議手動或使用毒霸來關閉自動播放功能,防止病毒利用USB隨身碟等可移動設備來進行傳播。

3.最好安裝專業的殺毒軟體進行全面監控。建議用戶安裝反病毒軟體防止日益增多的病毒，用戶在安裝反病毒軟體之後，應該經常進行升級、將一些主要監控經常打開（如郵件監控）、記憶體監控等，遇到問題要上報， 這樣才能真正保障計算機的安全。

(