劫持大量殺毒軟體的「機器狗變種53248」

「機器狗變種53248」（Win32.Troj.Agent.dd.53248），這是一個機器狗變種。病毒運行後修改註冊表，映像劫持大量安全軟體，導致它們無法正常運行。同時它還釋放驅動文件，實現自保護。最後，病毒會通過網址獲得木馬種植者提供的最新病毒列表，下載大量木馬至用戶計算機。

「秘密記錄員」（Win32.Troj.Agent.um.401408），該木馬運行後，監視系統是否運行有安全軟體（如360、金山反間諜、卡巴斯基等），如果有則關閉，並禁用任務管理器。同時，它會監視用戶的QQ聊天信息和打開系統後門，便於黑客進行惡意行為。

一、「機器狗變種53248」（Win32.Troj.Agent.dd.53248） 威脅級別：★★

病毒進入系統後，在系統盤中釋放出兩個病毒文件，分別為%WINDOWS%/system32/目錄下的winsrv32.dll，以及%WINDOWS%/system32//drivers/目錄下的ati32srv.sys。其中的ati32srv.sys特別值得注意，因為病毒會將它的相關資料寫入註冊表，恢復系統的SSDT表，這樣就可能導致殺毒軟體的「主動防禦」和「自我保護」功能失效。

接著，病毒以極快的速度繼續修改系統註冊表，對大量的殺毒軟體和安全輔助軟體實施印象劫持，造成它們失效。對於那些不需經過註冊表就能使用的綠色安全產品，病毒也採取監視系統進程的方式來阻止其運行。由於病毒的「黑名單」極為龐大，幾乎目前所有的殺毒軟體及安全輔助軟體都會「犧牲」。

完成以上步驟後，病毒悄悄連接http://xxx.w**ala.info/c**hi/、ttp://xxx.f**liu001.info/c**hi/、ttp://a.x**yige.com/等多個由木馬種植者指定的網址，獲取最新的病毒下載列表，然後根據列表上的地址去下載大量其它木馬至用戶計算機運行，引發更多無法估計的系統安全問題。

二、「秘密記錄員」（Win32.Troj.Agent.um.401408） 威脅級別：★★

病毒會在系統盤中釋放出五個病毒文件，分別為%WINDOWS%目錄下的mwinsys.ini、%WINDOWS%/system/目錄下的AlxRes070826.exe、%WINDOWS%/system32/inf/目錄下的scrsys070826.scr和scrsys16_070826.dll，以及%WINDOWS%/system32/目錄下的winsys16_070826.dll和winsys32_070826.dll。另外，如果用戶系統中有D盤，病毒會在D盤根目錄下生成一個名為myplayer.com的病毒文件。

文件釋放完畢後，病毒將自己的相關資料寫入系統註冊表啟動項，讓自己能隨系統桌面進程Explorer.exe一起啟動。如果能成功啟動，病毒就會查找並關閉金山毒霸、卡巴斯基、360安全衛士等安全軟體，並禁止任務管理器啟動。

隨後，病毒在系統中查找IE瀏覽器的進程iexplore.exe、騰訊TT瀏覽器的進程TTraveler.exe，以及遨遊瀏覽器的進程maxthon.exe進程，如果有則創建遠程線程注入其中。同時，它監視用戶的QQ聊天信息，將其記錄後保存記錄到本地。最後，該病毒會打開系統後門，等待木馬種植者（黑客）的遠程連接。

如果黑客成功入侵用戶系統，除能查看到用戶QQ聊天記錄外，還可以進行任何其想要的操作，這可能給用戶帶來無法估計的威脅和麻煩。

金山反病毒工程師建議

1.最好安裝專業的殺毒軟體進行全面監控，防範日益增多的病毒。用戶在安裝反病毒軟體之後，應將一些主要監控經常打開（如郵件監控、記憶體監控等）、經常進行升級、遇到問題要上報，這樣才能真正保障計算機的安全。

2.由於玩網絡遊戲、利用QQ聊天的用戶數量逐漸增加，所以各類盜號木馬必將隨之增多，建議用戶一定要養成良好的網絡使用習慣，及時升級殺毒軟體，開啟防火牆以及實時監控等功能，切斷病毒傳播的途徑，不給病毒以可乘之機。

(