貪婪「鍵盤記錄員」記錄用戶輸入全部信息

【賽迪網-IT技術報道】「網絡小廣告24391」（Win32.Adware.Agent.LL.24391），這是一個廣告木馬程序。它會在後台擅自利用IE瀏覽器登錄廣告網頁，浪費用戶的網絡流量，並損耗系統資源。

「鍵盤記錄員108627」（Win32.PSWTroj.OnLineGames.xn.108627），這個病毒是一個盜號木馬程序。它利用鍵盤記錄的方法，記錄下用戶輸入的全部信息，進行加密後發送給病毒作者。病毒作者通過一定技術手段，就可以從這些信息中篩選出用戶的各類賬號和密碼。

一、「網絡小廣告24391」（Win32.Adware.Agent.LL.24391） 威脅級別：★

許多計算機用戶在上網的時候可能都遇到過廣告木馬的騷擾：在你瀏覽網頁時，突然彈出一個別的窗口，全是廣告宣傳內容。這些頁面除了干擾大家的正常上網，還會嚴重浪費用戶的網絡流量。

本篇播報中的病毒便是一個廣告木馬程序。它主要利用網頁掛馬和借助下載器的方式進行傳播。病毒運行原理很簡單，它在進入用戶系統後，複製自身的文件autoc0n.exe到系統盤的%WINDOWS%/system32%/目錄下，並將其屬性設置為隱藏，讓用戶無法察覺到系統中多出了不明文件。然後，修改註冊表，將自己與IE瀏覽器捆綁到一起，實現開機自啟動。

當順利啟動後，病毒就會在後台擅自運行IE瀏覽器，登錄到病毒作者指定的廣告頁面http://www.jl.*****net.com，迫使用戶瀏覽廣告。經毒霸反病毒工程師檢查，發現該廣告網站佔用資料流量嚴重，這對於網絡流量費較貴的用戶來說，這就無異搶錢。並且，由於廣告網頁的安全性較差，容易被其它病毒掛馬，這也就增加了用戶系統的危險係數。

二、「鍵盤記錄員108627」（Win32.PSWTroj.OnLineGames.xn.108627） 威脅級別：★★

此篇預警播報中的病毒，是一個非常貪心的木馬程序。它不僅僅是竊取網絡遊戲的賬號，任何輸入電腦的資料都會被它悉數盜走。

木馬在系統中釋放完文件後，首先會修改SSDT(系統服務調度表)，從而解除各種具有主動防禦功能的殺毒軟體的武裝。然後，它修改註冊表中的相關資料，把病毒文件屬性設置為「系統」、「隱藏」和「只讀」，並將顯示模式鎖定為隱藏，讓用戶無法發現病毒文件。

接下來，病毒啟動監視程序，監視用戶的鼠標、鍵盤操作，從而記錄下用戶操作電腦時輸入的各種信息。並每隔一段時間，就將這些偷到的信息加密，以郵件的形式通過SMTP通信協議和網頁收信空間發送給木馬作者。所謂的SMTP，是一種可以免除驗證的通訊方式，能為WINDOWS系統用戶之間的通訊提供便利，但也因此而被一些病毒作者所利用。

由於是採取完整的鍵盤記錄，用戶在中毒電腦上輸入的所有信息都會被病毒作者所掌握。他只需經過簡單的分析和篩選，便可從中找到用戶輸入的各種賬號和密碼，甚至可以掌握用戶的個人隱私。

習慣手動查殺的用戶，請留意病毒釋放出的以下文件，分別為%WINDOWS%/system32/目錄下的mmvo.exe和mmvo0.dll，以及系統臨時目錄%Temp%中的一個隨機命名的.dll格式文件。一定要將它們清除，系統才可恢復正常。

金山反病毒工程師建議

1.最好安裝專業的殺毒軟體進行全面監控，防範日益增多的病毒。用戶在安裝反病毒軟體之後，應將一些主要監控經常打開（如郵件監控、記憶體監控等）、經常進行升級、遇到問題要上報，這樣才能真正保障計算機的安全。

2.由於玩網絡遊戲、利用QQ聊天的用戶數量逐漸增加，所以各類盜號木馬必將隨之增多，建議用戶一定要養成良好的網絡使用習慣，及時升級殺毒軟體，開啟防火牆以及實時監控等功能，切斷病毒傳播的途徑，不給病毒以可乘之機。

(