来源:华军资讯

华军资讯提醒您：本周出现几种新的电脑病毒，值得大家高度重视，华军总结了几家病毒软件发布的重点病毒播报，希望大家加强防范，注意安全。

　　金山：

　　一、“网游盗号木马78089”(Win32.PSWTroj.OnLineGames.78089) 威胁级别：★

　　这个盗号木马近来传播趋势较高。毒霸反病毒工程师发现，该毒近来出现大量变种，可能是病毒作者利用自动生成工具批量生成的原因，值得关注。

　　文件进入系统后，将两个病毒文件释放到系统盘下，分别为%WINDOWS%\下的huifitc.exe，以及%WINDOWS%\system32\目录下的huifitc.dll。其中huifitc.exe是病毒的主文件，会被注入系统注册表，以实现病毒的开机自启动。而huifitc.dll用于执行盗号行为。

　　当顺利运行起来，病毒就注入系统桌面进程explorer.exe，搜索网游《烽火之旅》、《魔兽世界》，以及“游戏茶苑”，发现后注入其中。如注入成功，就读取帐号和密码，发送到病毒作者指定的地址http:/ /www.ck8***6.com，给用户造成虚拟财产的损失。

　　关于该病毒的详细分析报告，可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-pswtroj-onlinegames-78089-50619.html

　　二、“冒险岛盗号者107664”(Win32.Troj.OnlineGameT.am.107664) 威胁级别：★

　　此盗号木马利用消息钩子来盗取用户的游戏帐号。所谓的消息钩子，就是在用户与游戏服务器的通讯信息之间建立监视，从其中筛选出帐号与密码信息。

　　病毒在进入系统后会释放出病毒文件fdght.dll、fjyjy.cfg、fjyjy.dll，它们的相关数据会被添加到注册表启动项中，使病毒实现开机自启动。文件的目录是%WINDOWS%\system32\，习惯手动查杀的用户，注意需将这几个文件删除。

　　最后，病毒搜寻《冒险岛oline》游戏进程，并将文件注入其中，盗取帐号，然后把赃物通过网页提交的方式发送到http://www.******.cn/911qj_tx/200/post.asp这个由病毒作者指定的网址。

　　关于该病毒的详细分析报告，可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-troj-onlinegamet-am-107664-50620.html

　　瑞星：

　　“安德夫木马变种GGA(Trojan.Win32.Undef. gga)”病毒：警惕程度★★★，木马病毒，通过网络传播，依赖系统：Windows NT/2000/XP/2003。

　　这是一个木马病毒。病毒运行后会将自身文件复制到系统目录下，并修改注册表启动项，实现随系统自启动。病毒会将自身注入到系统正常进程，给用户查杀病毒带来困难。此外，病毒会试图关闭多种杀毒软件和安全工具，并会纪录用户键盘和鼠标操作，窃取用户的网游的帐号、密码等隐私信息，并发送给黑客，使玩家蒙受损失。
 
　　江民：
　　病毒名称：Trojan/Srizbi.c

　　中 文 名：“斯瑞波”变种c

　　病毒长度：159744字节

　　病毒类型：木马

　　危险级别：★★

　　影响平台：Win 9X/ME/NT/2000/XP/2003

　　Trojan/Srizbi.c“斯瑞波”变种c是“斯瑞波”木马家族的最新成员之一，采用高级语言编写，并经过添加保护壳处理。“斯瑞波”变种c运行后，在被感染计算机系统“%SystemRoot%\system32\drivers”目录下释放恶意驱动程序“grande48.sys”并加载运行。将恶意驱动程序添加为系统服务，实现木马开机自动运行，然后创建批处理文件删除自身。该病毒的独特之处在于病毒的功能完全由“grande48.sys”恶意驱动程序在内核中实现。恶意驱动程序采用高级RootKit技术编写而成，隐藏自我并试图删除日志文件，使用户难以发觉病毒的存在。连接骇客指定的服务器下载有效的邮箱地址，利用被感染的计算机发送大量垃圾邮件。隐藏自身所有的
网络活动，躲避某些防火墙程序及安全软件的监测，大大降低被感染计算机上的安全性。另外，“斯瑞波”变种c在Windows安全模式下也会被加载运行，一旦用户计算机系统感染该病毒，则很难清除干净。

　　病毒名称：Trojan/PSW.Magania.che

　　中 文 名：“玛格尼亚”变种che

　　病毒长度：125662字节

　　病毒类型：木马

　　危险级别：★★

　　影响平台：Win 9X/ME/NT/2000/XP/2003

　　Trojan/PSW.Magania.che“玛格尼亚”变种che是“玛格尼亚”木马家族的最新成员之一，采用Delphi语言编写，并经过添加保护壳处理。“玛格尼亚”变种che运行后，在“%SystemRoot%\help\”目录下释放组件文件“B41346EFA848.dll”。修改注册表，实现木马开机自启动。采用HOOK技术和内存截取技术在被感染计算机的后台监视用户的键盘、鼠标动作，盗取《黄易群侠传》、《天堂》、《魔兽世界》等多款网络游戏玩家的游戏帐号、游戏密码、仓库密码、角色等级等信息，并在后台将玩家信息发送到骇客指定的远程服务器上，致使玩家的游戏帐号、装备物品、金钱等丢失，给游戏玩家带来非常大的损失。另外，“玛格尼亚”变种che还会在被感染计算机上下载更多的恶意软件、网游木马等，给网络游戏玩家带来极大的损失。

　　卡巴斯基

　　病毒名称：Trojan-Downloader.Win32.Delf.hoq(木马下载器)

　　文件大小：246784字节

　　病毒类型：木马

　　危害等级：★★★★

　　影响的平台：WIN9X/ME/NT/2000/XP/2003

　　病毒表现(X代表任意数字与字母的组合)：

　　此病毒运行后创建以下文件 C:\WINDOWS\system32\GJEVDQ.DAT C:\WINDOWS\system32\Ldmss.exe 写入注册表服务项： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dmserversvc 。

　　以上是华军每周给大家带来病毒播报，希望对大家有帮助。