循環癱瘓下載器解除殺毒軟體主動防禦能力

【賽迪網-IT技術報道】「大話西遊3盜號者102400」（Win32.PSWTroj.OnlineGames.102400），該木馬是針對網絡遊戲《大話西遊3》的盜號木馬。病毒運行後會衍生病毒文件到系統路徑下，利用消息監視的方式盜取遊戲賬號，並通過網頁提交的方式發送給木馬種植者。

「循環癱瘓下載器208896」（Win32.Troj.Agent.bk.208896），這是一個病毒下載器。該病毒運行後會修改用戶的計算機配置信息，關閉用戶機器上運行的流行殺毒軟體和防火牆，從網絡上下載大量木馬，盜竊用戶電腦中有價值的敏感信息。

一、「大話西遊3盜號者102400」（Win32.PSWTroj.OnlineGames.102400） 威脅級別：★

製作變種對木馬作者來說不是什麼難事，他們只需製作一個木馬生成器，就可以批量生成大量的木馬變種。以下這個病毒只是一個普通的盜號木馬，但因為最近相關變種較多，需要注意。

這個盜號木馬針對的是網絡遊戲《大話西遊3》。它由兩個病毒文件組成，一個是隱藏在%WINDOWS%/目錄下的DbgHlp32.exe，另一個是%WINDOWS%/system32/目錄下的DbgHlp32.dll，其中前者是病毒的主文件，病毒會將它的相關資料寫入系統註冊表，實現自己的開機自啟動，而後者則負責盜號工作。當病毒完成文件釋放後，它就刪除自己的原始文件，讓用戶不易發現。

病毒盜號的原理是建立消息鉤子，所謂消息鉤子，簡單的說就是監視用戶與遊戲伺服器之間的通訊消息，從中篩選出賬號和密碼，類似於竊聽。病毒獲得賬號信息後，就建立遠程連接，將贓物發送到木馬作者指定的地址http://zha*******23456.com/cssj/post.asp，然後木馬作者就可以變賣遊戲賬號和裝備，給玩家造成虛擬財產的損失。

二、「循環癱瘓下載器208896」（Win32.Troj.Agent.bk.208896） 威脅級別：★★

具備對抗殺軟能力的下載器再次出現。和機器狗、磁碟機一樣，這個下載器也具備解除殺毒軟體主動防禦的能力。毫無疑問，這是下載器發展的一個趨勢，只要可帶來巨額利潤的病毒黑色產業鏈存在，病毒作者們就會想方設法地突破殺毒軟體。

如果用戶機器上安裝了卡巴反病毒軟體，這個病毒就會在%WINDOWS%system32/drivers/目錄下釋放出驅動程序beep.sys，將卡巴的主文件關閉。這個過程會不斷反覆，只要用戶一啟動卡巴，病毒就會立即將它強行關閉。而如果電腦中沒有安裝卡巴，病毒則釋放這個驅動程序到系統臨時目錄，並且文件名隨機。

接著，病毒利用自己的驅動程序，修改註冊表，恢復系統SSDT表，使那些具有主動防禦功能的殺毒軟體失效。當這個過程運行完以後，病毒馬上將其註冊表項刪除，需要運行時再創建。這樣，用戶檢查註冊表時，就容易發現異常。

最後，病毒開始干它的本職工作：從http://c.15**m.com/這個由病毒作者指定的地址下載一份名為okok.txt的病毒列表。再下載列表裡的所有病毒。在這些病毒中，大部分是盜號木馬程序，它們會盜取用戶的網絡遊戲賬號密碼，以及其他一些私密信息。

金山反病毒工程師建議

1.最好安裝專業的殺毒軟體進行全面監控，防範日益增多的病毒。用戶在安裝反病毒軟體之後，應將一些主要監控經常打開（如郵件監控、記憶體監控等）、經常進行升級、遇到問題要上報，這樣才能真正保障計算機的安全。

2.由於玩網絡遊戲、利用QQ聊天的用戶數量逐漸增加，所以各類盜號木馬必將隨之增多，建議用戶一定要養成良好的網絡使用習慣，及時升級殺毒軟體，開啟防火牆以及實時監控等功能，切斷病毒傳播的途徑，不給病毒以可乘之機。

(