病毒嗅探網絡監控進程　冒充微軟系統文件

「敏感資料盜竊者202792」（Win32.Troj.Hugedoor.a.202792），這是一個竊取信息的木馬。它主要用來盜取黑客希望得到的信息。該程序會記錄IE瀏覽器提交的所以用戶名密碼，以及OutLook、Foxmail等所有郵件工具的賬號密碼及伺服器信息。同時，它還會記錄QQ、ICQ、MSN的賬號密碼。

「網游盜號木馬53248」（Win32.Troj.OnlineGames.ej.53248），這是一個網游盜號木馬。該木馬通過模擬鼠標點擊的方式關閉部分殺毒軟體的通知和報警窗口，然後讀取遊戲的記憶體空間，盜取網絡遊戲《天龍八部》、《驚天動地》等遊戲和「浩方遊戲平台」的賬號。

一、「敏感資料盜竊者202792」（Win32.Troj.Hugedoor.a.202792） 威脅級別：★★

病毒進入電腦後，釋放病毒文件kernel.dll到系統盤的%WINDOWS%/system32/目錄下，並修改系統註冊表，將該文件的信息寫入啟動項，使自己能實現自啟動。為迷惑用戶，病毒會將該文件屬性偽裝成類似微軟的文件，如果用戶檢查其屬性，可看到其服務名為「WmdmPmSN」，名稱為「Portable Media Serial Number Service」。

如果成功運行起來，病毒就會在系統中展開全面監視程序，記錄下用戶使用outlook和foxmail所有發出郵件的時間、用戶名、密碼、郵件伺服器等信息。另外，它還會記錄QQ、ICQ、MSN等即時通訊工具的賬號，密碼。

病毒還記錄用戶使用IE瀏覽器時，輸入的所有含TEXT和PASSWORD字樣的內容，並將這些偷來的信息全部發送到木馬種植者指定的地址。更令人髮指的是，它甚至會在系統最近打開的文檔中搜索doc、txt、pdf等格式的文件，將它們也上傳給木馬種植者。

而且此病毒有個狡猾之處，它在上傳贓物的過程中，如果嗅探到有網絡監控進程，就會暫停上傳工作，等2分鐘後再次檢測。這樣一來，監控程序就不容易發現它了。

二、「網游盜號木馬53248」（Win32.Troj.OnlineGames.ej.53248） 威脅級別：★

病毒進入用戶系統後，在系統盤中釋放出兩個病毒文件，分別為%WINDOWS%/目錄下的AVPSvr.exe，以及%WINDOWS%/system32/目錄下的AVPSrv.dll。隨後它修改註冊表啟動項裡的相關資料，使自己實現開機自啟動。

當該病毒運行起來，它首先會循環查找殺毒軟體卡巴斯基和瑞星的報警窗口，如果找到則搶先模擬鼠標點擊的方式關閉掉，使用戶不能夠察覺木馬的非法操作。

然後，病毒將之前生成的病毒文件AVPSrv.dll注入系統進程，查找網絡遊戲《天龍八部》、《驚天動地》等遊戲和「浩方遊戲平台」的賬號，如發現則創建相應的線程，通過讀取記憶體的方式盜取用戶賬號信息，並發送到木馬種植者指定的地址http://f*1.so**jjj.com/j**y/lin.asp，給用戶造成虛擬財產的損失。

金山反病毒工程師建議

1.最好安裝專業的殺毒軟體進行全面監控，防範日益增多的病毒。用戶在安裝反病毒軟體之後，應將一些主要監控經常打開（如郵件監控、記憶體監控等）、經常進行升級、遇到問題要上報，這樣才能真正保障計算機的安全。

2.由於玩網絡遊戲、利用QQ聊天的用戶數量逐漸增加，所以各類盜號木馬必將隨之增多，建議用戶一定要養成良好的網絡使用習慣，及時升級殺毒軟體，開啟防火牆以及實時監控等功能，切斷病毒傳播的途徑，不給病毒以可乘之機。

(