“还原卡破坏者”病毒穿透还原卡下载病毒-DOIT

安全在线7月3日报道 "还原卡破坏者73728"（Win32.TrojDownloader.Agent.73728），这是一个木马下载者程序。该病毒运行后会修改系统文件、打开本地端口协议端口连接网络，然后下载病毒，并穿透电脑上安装的还原卡，运行病毒。

"华夏盗号器110799"（Win32.Troj.OnLineGamesT.ak.110799），该病毒是一个网游盗号木马的变种。它针对的是网络游戏《华夏Ⅱonline》。病毒运行后会盗取的账号信息，并通过网页提交的方式发送到木马种植者手上。

一、"还原卡破坏者73728"（Win32.TrojDownloader.Agent.73728）威胁级别：★★

这个下载器在对抗系统安全模块方面做了许多工作，它能绕开安全模块的监视，非法连接远程服务器，甚至还可以穿透还原卡。

病毒在进入电脑后，释放自己的文件tubv.exe到%WINDOWS%目录中。立刻修改系统%WINDOWS%文件夹中的系统桌面文件explorer.exe，同时将正常的原文件复制到%WINDOWS%system32目录中。接着就运行起来，打开本地端口协议UDP端口。

然后，病毒在C盘根目录下生成一个emsf3.bat文件和一个rmeslf.bat文件，用它们删除病毒的原始文件和那个被修改过的explorer.exe，销毁自己到过电脑的证据。

完成以上工作后，该病毒利用打开的端口，连接病毒作者指定的地址http://jqm.htitm***.cn，下载一份病毒列表，再根据其中的地址，下载数十个其它病毒。经毒霸反病毒工程师检查，这些病毒都是各种个样的盗号木马。会盗窃多种网游和网银的帐号信息。

毒霸反病毒工程师还发现，该下载器针对网吧等场所的电脑，配备有对抗还原卡功能。它可以利用磁盘驱动技术，穿透还原卡保护，从而让自己所下载的这些木马长久地驻留在受害电脑中。

二、"华夏盗号器110799"（Win32.Troj.OnLineGamesT.ak.110799）威胁级别：★

这个病毒的作案原理比较简单，可被大多数安全软件查杀，但由于借助一些对抗型下载器进行传播，近来频繁现身。

病毒在用户系统中的操作步骤并不复杂，它首先把自己的文件hhrdxd.dll释放到系统盘%WINDOWS%system32目录中，并添加注册表启动项，实现开机自启动。

如果得以运行，病毒就将自己的文件注入系统桌面进程中，搜索《华夏Ⅱonline》的游戏进程，注入其中，读取游戏帐号和密码信息。如成功获得，便连接病毒作者指定的远程地址，将赃物一网页提交的方式发送过去。使玩家蒙受虚拟财产的损失。

金山反病毒工程师建议

1.最好安装专业的杀毒软件进行全面监控，防范日益增多的病毒。用户在安装反病毒软件之后，应将一些主要监控经常打开（如邮件监控、内存监控等）、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。

2.由于玩网络游戏、利用QQ等即时聊天工具交流的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，如不要登录不良网站、不要进行非法下载等，切断病毒传播的途径，不给病毒以可乘之机。

“还原卡破坏者”病毒穿透还原卡下载病毒