由下載者生成器生成的"土著下載者546816"

「QQ幻想盜號者16187」（Win32.PSWTroj.OnlineGames.16187），該病毒是針對網絡遊戲《QQ幻想》的一個盜號木馬。它運行後會衍生病毒文件至系統目錄下，修改註冊表增加啟動項，注入進程偷取遊戲賬號和密碼。

「土著下載者546816」（Win32.Troj.Unknown.b.546816），這是一個木馬下載者。該病毒運行後，會修改註冊表的啟動項，創建病毒服務，以便隨系統自動啟動。它運行後會聯網下載其它病毒程序到用戶的系統中運行。

一、「QQ幻想盜號者16187」（Win32.PSWTroj.OnlineGames.16187） 威脅級別：★

病毒進入用戶系統後，在系統盤裡生成兩個病毒文件，即%WINDOWS%目錄下的MsPrint32D.exe和%WINDOWS%/system32/目錄下的MsPrint32D.dll。只要釋放完文件，病毒就啟動自我刪除程序，把自己的原始文件刪掉，讓用戶難以發現病毒源。

接著，病毒修改註冊表中的資料，使自己實現開機自啟動。當它再一次運行時，就會把之前生成的病毒文件MsPrint32D.dll注入到系統桌面進程Explorer.exe當中，搜索並注入網絡遊戲《QQ幻想》的進程，通過讀取記憶體的方法盜取用戶的賬號信息。

如成功得手，病毒就在用戶無法察覺的情況下建立遠程連接，將偷得的賬號密碼以網頁提交的形式發送到http://www.yum******ojie77521.cn/xintiandiwl/posttma.asp這一由木馬種植者指定的網址，令用戶遭受虛擬財產的損失。

二、「土著下載者546816」（Win32.Troj.Unknown.b.546816） 威脅級別：★★

這是一個由下載者生成器生成的下載者程序。當它出現在用戶電腦中後，會將病毒文件789.exe和cmdno.exe釋放到系統盤的%WINDOWS%/system32/目錄下。然後修改註冊表，將自己的相關資料添加到啟動項中，這樣以後每次用戶啟動電腦時，它都能跟著自動運行起來。其啟動項名稱為relinson，這可作為查找該病毒的一個依據。

當病毒運行後，它創建一個名為Windows_ServerUP1的系統服務，自動連接木馬種植者指定的遠程地址http://www.o***ok365.com/，下載一份病毒地址列表，然後根據列表中的地址下載更多其它病毒到用戶電腦中運行，引起更多無法預計的破壞。

這類用生成器生成的木馬病毒多見於網吧等公共場所中的電腦，因此用戶使用公用電腦時也需提高警惕。建議將金山清理專家等綠色的安全輔助軟體拷貝在USB隨身碟中，隨身攜帶，或者直接配置專門的殺毒USB隨身碟，以便掃瞄公用電腦查殺木馬。

金山反病毒工程師建議

1.最好安裝專業的殺毒軟體進行全面監控，防範日益增多的病毒。用戶在安裝反病毒軟體之後，應將一些主要監控經常打開（如郵件監控、記憶體監控等）、經常進行升級、遇到問題要上報，這樣才能真正保障計算機的安全。

2.由於玩網絡遊戲、利用QQ聊天的用戶數量逐漸增加，所以各類盜號木馬必將隨之增多，建議用戶一定要養成良好的網絡使用習慣，及時升級殺毒軟體，開啟防火牆以及實時監控等功能，切斷病毒傳播的途徑，不給病毒以可乘之機。

(