"破防盜號者"搭乘"艷照門"　普通人也受害

2月18日，金山毒霸全球反病毒監測中心發佈周（2.18-2.24）病毒預警。近日，香港影星的「艷照門」事件持續升溫，成為網民關注的焦點，也成為黑客作案的工具。「破防盜號者」病毒正是利用明星激情照為幌子大肆作案，盜取包括《奇跡世界》，《魔獸世界》，《大話西遊》在內的多款網絡遊戲賬號，使普通電腦用戶深受其害。

金山毒霸反病毒專家李鐵軍表示，「破防盜號者」病毒運行起來後，它就會讀取配置文件，並根據配置文件中的信息不斷注入進程，搜索並盜取遊戲的賬號，最後發送盜取的信息到木馬種植者指定網站，給遊戲玩家造成虛擬財產的損失。

李鐵軍分析指出，病毒進入用戶的電腦系統後，在系統盤中釋放出兩個病毒文件，分別為%WINDOWS%/system32/下的naijoad.dll和%WINDOWS%/system32/drivers/目錄下的msacpe.sys。接著，它修改註冊表中的相關資料，使自己可以在開機後自動運行。病毒釋放出的文件各有分工。其中，Msacpe.sys在運行後會查找目前電腦上安裝的殺毒軟體，並幫助病毒突破殺毒軟體的主動防禦，而naijoad.dll被注入到系統的每個進程，搜索作案對象。它的作案對象是《奇跡世界》，《魔獸世界》，《大話西遊》等多款網絡遊戲。

據瞭解，本周內廣大電腦用戶除了需要警惕「破防盜號者」之外，還需要特別警惕「依然下載者36864」（Win32.Troj.Downloader.yl.a.36864）與「間諜相機蠕蟲125893」（Worm.AutoRun.125893）兩大病毒。前者運行後映像劫持幾乎所有主流安全產品，使它們無法正常運行，甚至造成用戶連大部分安全軟體廠商的網站都無登錄。如果用戶試圖運行它們，只可能將病毒激活。然後在後台建立遠程連接，從木馬種植者指定的地址下載大量其它病毒，為了使自己下載流暢，它甚至會玩起「黑吃黑」，搜索並劫持系統中其它下載者的運行。後者病毒進入系統後，會在用戶機器上增加自己的協議，監視用戶機器上的網絡資料，並不時對用戶機器實行截屏等非法記錄動作，從中盜取賬號、密碼、商業資料等敏感信息，給用戶造成無法估計的損失。在發作後期，它還會利用中毒電腦對外發送含毒郵件，同時下載更多其它病毒，引發更大的破壞。

(