海量下载者释放病毒疯狂盗取用户帐号

"海量下载者20992"（Worm.Troj.Wogue.ax.20992），这是一个下载者病毒。该病毒运行后，会下载海量其它病毒到系统盘和重要的系统文件夹当中，这些病毒主要功能是进行盗号行动。中了该毒的表现是运行文件时没有反应，如发现这种情况，用户应立即断网，进入安全模式全面扫描病毒。

"网游盗号木马16503"（Win32.PSWTroj.OnlineGames.16503），这是一个可以盗取多个网络游戏账号信息的盗号木马。病毒创建线程关闭"瑞星"和"卡巴斯基"的警告窗口，使用户无法知道盗号行为。病毒把盗得的账号信息分别发送至不同的接收地址。此外，该病毒创建的注册表启动项所指向的Exe病毒文件每次开机时都会被重新命名，以迷惑用户。

一、"海量下载者20992"（Worm.Troj.Wogue.ax.20992）威胁级别：★★

病毒进入用电脑系统后，会立即在系统盘的%WINDOWS%目录、%WINDOWS%system32目录，以及%WINDOWS%Fonts目录下释放出海量病毒文件。其中大部分的EXE格式文件在WINDOWS文件夹下，而DLL格式文件大多在SYSTEM32文件夹下。随后，病毒修改注册表启动项，把这些病毒文件的相关数据加入其中，使自己可以在用户每次启动电脑时跟着自动运行起来。

如果成功运行起来，病毒会迅速将系统时间修改为"2001"年，使依赖系统时间进行激活和升级的软件全部失效，这里面当然也包括了一些安全软件。失去安全软件保护的电脑系统，将随时面临外部恶意程序的入侵。

接着，病毒会自动创建一个无效的MSN向导，骗取用户输入账号和密码。同时，它在用户无法知晓的情况下建立远程连接，下载数量极多的木马病毒，在这些木马病毒中，大部分具有盗号功能。如果用户使用毒霸的"隐蔽软件扫描"功能，瞬间可扫描出数十种针对《大话西游》、《传奇》、"QQ"等热门网游及软件的盗号木马。

病毒发作的期间，外部病毒源源不断地进入用户系统。刚开始，除盗号外，别的症状都不明显。但随着进来的病毒种类越来越多，用户的系统安全终将遭到无法估计的更大威胁。

二、"网游盗号木马16503"（Win32.PSWTroj.OnlineGames.16503）威胁级别：★

病毒进入系统后，在系统盘中释放出两个病毒文件，分别是%WINDOWS%目录下的fzbapl.exe和%WINDOWS%system32目录下的RegSrv64D.dll。然后，病毒修改注册表中的数据，把fzbapl.exe这个病毒主程序加入启动项，实现开机自启动之目的。值得注意的是，以后每次开机，病毒都会把其注册表启动项指向的Exe病毒执行文件重命名，并把重命名后的文件名重写至其启动项，使得用户即便知道系统中毒，也难以找出"罪犯"。

当病毒顺利运行起来，它会立即查找杀毒软件"瑞星"和"卡巴斯基"的提示窗口，如发现瑞星和卡巴试图提示用户系统中的异常，就会抢先模拟按键消息，允许病毒操作。

接着，病毒把之前生成的病毒文件RegSrv64D.dll注入到桌面进程explorer.exe的空间内，搜索《惊天动地》、《剑侠情缘2》、《破天一剑》、《征服》等热门网络游戏和"浩方"在线对战平台的进程。发现后，立即注入其中，窃取账号密码等信息，并发送至http://www.n**d*d.com/这个由木马种植者指定的接收网址，给用户造成虚拟财产的损失。

金山反病毒工程师建议

1.最好安装专业的杀毒软件进行全面监控，防范日益增多的病毒。用户在安装反病毒软件之后，应将一些主要监控经常打开（如邮件监控、内存监控等）、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。

2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，及时升级杀毒软件，开启防火墙以及实时监控等功能，切断病毒传播的途径，不给病毒以可乘之机。

金山毒霸反病毒应急中心及时进行了病毒库更新，升级毒霸到2008年1月10的病毒库即可查杀以上病毒；如未安装金山毒霸，可以登录http://www.duba.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010-82331816，反病毒专家将为您提供帮助。

未经允许不得转载：DOIT » 海量下载者释放病毒疯狂盗取用户帐号