病毒偽裝成記事本程序　截取用戶密碼資料

「密碼盜竊器69632」（Win32.PSWTroj.QQPass.zc），這是一個盜竊密碼的木馬程序。該病毒將自己偽裝成記事本程序，暗中截獲用戶在任何密碼框中輸入的數值，從而掌握用戶的賬號密碼等敏感信息。它並不是採取常見的鍵盤記錄，而搜索密碼框類名，然後發送WM_GETTEXT 命令獲取密碼。

「MSN跳蟲55808」（Win32.TrojDownloader.MSNBot.m.55808），這是一個通過MSN進行傳播的木馬程序。它會從指定網址下載完整的木馬程序，並將下載的木馬壓縮後通過MSN來進行傳播。

一、「密碼盜竊器69632」（Win32.PSWTroj.QQPass.zc） 威脅級別：★★

病毒進入系統後，首先會進行偽裝。它搜索出系統盤%WINDOWS%目錄下的記事本程序Notepad.exe，將其更名為Mspad.exe，然後將自己的病毒文件取名為Notepad.exe，釋放到同一目錄下。一起被釋放出來的還有Eudcedit.exe、Freecell.exe、Msscr.exe等文件。

接著，病毒修改系統註冊表，將自己的相關資料寫入啟動項，實現開機自啟動。如果順利運行起來，它就使用 Timer 控件，監視窗口程序的運行，取得所有的窗口標題，判斷其中是否有用於用戶登錄的窗口。如有，則監視登錄窗口的密碼輸入欄，然後利用SendMessage函數命令，獲取這些密碼欄中的資料。

順便提及，病毒作者沒有給此病毒設置判斷外部按鍵事件的功能，它就無法記錄用戶的鍵盤輸入，但作為彌補這一功能的缺失，它一旦成功開始運行就不會停止，直到被清除。由於是對全部的密碼輸入欄下手，包括QQ、MSN在內的許多即時通訊工具和機密文件都會遭受威脅。

二、「MSN跳蟲55808」（Win32.TrojDownloader.MSNBot.m.55808） 威脅級別：★

病毒進入系統後，在系統盤%WINDOWS%/system32/目錄下釋放出病毒文件rmbsvc.exe。隨後，它修改系統註冊表，將自己加入啟動項，實現開機自動運行。

當運行起來，病毒會與木馬種植者指定的遠程伺服器建立通信，當收到「確認攻擊」的返回消息後，就從http://www.n**au.dk/m**ia/這個地址下載msn對話信息到IE瀏覽器的臨時目錄，然後根據對話信息裡的地址，從http://www.stu**egroep***selen.nl/components這個地址下載自己的完整EXE格式程序，隨機命名後存放到%WINDOWS%/Temp/，即IE瀏覽器的臨時目錄下。

接下來，病毒就搜索用戶電腦中的MSN即時通訊工具，讀取用戶的好友列表，將壓縮為ZIP格式的病毒包發送出去，實現更大規模的傳染。

金山反病毒工程師建議

1.最好安裝專業的殺毒軟體進行全面監控，防範日益增多的病毒。用戶在安裝反病毒軟體之後，應將一些主要監控經常打開（如郵件監控、記憶體監控等）、經常進行升級、遇到問題要上報，這樣才能真正保障計算機的安全。

2.由於玩網絡遊戲、利用QQ聊天的用戶數量逐漸增加，所以各類盜號木馬必將隨之增多，建議用戶一定要養成良好的網絡使用習慣，及時升級殺毒軟體，開啟防火牆以及實時監控等功能，切斷病毒傳播的途徑，不給病毒以可乘之機。

金山毒霸反病毒應急中心及時進行了病毒庫更新，升級毒霸到2008年3月6的病毒庫即可查殺以上病毒；如未安裝金山毒霸，可以登錄http://www.duba.net免費下載最新版金山毒霸2008或使用金山毒霸在線殺毒來防止病毒入侵。撥打金山毒霸反病毒急救電話010－82331816，反病毒專家將為您提供幫助。

(