「間諜感染蟲151552」釋放迷惑性病毒文件

「網游盜號木馬165969」（Win32.PSWTroj.OnlineGames.kl.165969），該木馬是針對網絡遊戲《魔域》和「浩方」對戰平台的盜號木馬。病毒運送行後會衍生病毒文件至系統目錄下，並創建服務以達到自啟動的目的，然後注入遊戲進程竊取賬號密碼。

「間諜感染蟲151552」（Worm.AutoRun.al.151552），這是一個用Delphi編寫的最新logogo變種。病毒運行後會釋放病毒文件至系統文件夾和每個硬碟根目錄，劫持大部分殺毒軟體及安全工具。病毒會感染硬碟中幾乎所有exe文件，然後收集用戶計算機名，操作系統版本，MAC地址等信息等，發送至遠程網址，統計中毒者人數。另外，病毒還嘗試從網絡下載大量惡意程序安裝至本地計算機。

一、「網游盜號木馬165969」（Win32.PSWTroj.OnlineGames.kl.165969） 威脅級別：★

病毒進入電腦後，釋放出三個病毒文件，分別為%WINDOWS%目錄下的TIMHost.exe，以及%WINDOWS%/system32/目錄下的SVKP.sys和TIMHost.dll，然後修改註冊表啟動項，把自己主文件TIMHost.exe的相關資料寫入其中，實現開機自啟動之目的。

病毒運行後，在系統中查找網絡遊戲《魔域》和「浩方」對戰平台的進程，如果發現，就把DLL文件加載到其中，利用讀取記憶體的方式盜取用戶的賬號信息。

如成功得手，病毒就在用戶無法察覺的情況下建立遠程連接，通過網頁提交的方式把相關信息發送到木馬種植者指定的網址http://www.x*****520.com/zhanggui3/lin1.asp，給用戶造成虛擬財產的損失。

二、「間諜感染蟲151552」（Worm.AutoRun.al.151552） 威脅級別：★

如果病毒順利進入了用戶系統，它會在系統盤的%WINDOWS%/Fonts/system/目錄下釋放出病毒主文件ati2evxx.exe，並在全部硬碟分區的根目錄下生成AUTO病毒文件ntldr.exe和autorun.inf。只要用戶在中毒電腦上使用USB隨身碟等移動儲存設備，病毒就會立即將其傳染。

文件釋放完畢後，病毒修改系統註冊表啟動項中的相關資料，使自己實現開機自啟動。當它運行起來，就迅速查找並劫持已安裝的安全軟體，造成它們失效，幾乎所有著名安全軟體都在它的「黑名單」中。而被解除武裝的電腦，會很容易受到外部惡意程序的攻擊。

接著，病毒搜索並感染電腦上的EXE文件，除系統目錄、QQ聊天軟體，以及少數遊戲程序漏網之外，幾乎所有EXE文件都會被感染。它會向被感染的文件中新增.ani節，並修改入口點為病毒的代碼起始位置，被感染文件運行後會釋放一個名為ani.ani的臨時文件並運行，然後使用ani.ani.bat刪除自身，使得用戶無法找到病毒源。

完成以上步驟後，病毒就開始收集用戶計算機名字和網卡物理地址等信息，發送至木馬種植者指定的遠程網址http://i*2.3**86.com，並統計中毒者人數。同時，它還嘗試連接hxxp://m.8q8.xxx、hxxp://a.9gg.xxx、hxxp://f.935425.xxx等多個由木馬種植者指定的地址，下載更多惡意程序至用戶計算機。

金山反病毒工程師建議

1.最好安裝專業的殺毒軟體進行全面監控，防範日益增多的病毒。用戶在安裝反病毒軟體之後，應將一些主要監控經常打開（如郵件監控、記憶體監控等）、經常進行升級、遇到問題要上報，這樣才能真正保障計算機的安全。

2.由於玩網絡遊戲、利用QQ聊天的用戶數量逐漸增加，所以各類盜號木馬必將隨之增多，建議用戶一定要養成良好的網絡使用習慣，及時升級殺毒軟體，開啟防火牆以及實時監控等功能，切斷病毒傳播的途徑，不給病毒以可乘之機。

(