偽顆粒變種後台秘密監視用戶並盜取賬號

　　作者：kaduo

【賽迪網-IT技術報道】江民今日提醒您注意：在今天的病毒中TrojanDownloader.Losabel.as“露薩”變種as和Trojan/Vaklik.la“偽顆粒”變種la值得關注。

病毒名稱：TrojanDownloader.Losabel.as

中 文 名：“露薩”變種as

病毒長度：34773字節

病毒類型：木馬下載器

危險級別：★★

影響平台：Win 9X/ME/NT/2000/XP/2003

TrojanDownloader.Losabel.as“露薩”變種as是“露薩”木馬家族的最新成員之一，采用Delphi語言編寫，並經過加殼處理。“露薩”變種as運行後，自我復制到被感染計算機系統的“%SystemRoot%/system32/”目錄下，重命名為“VistaAA.exe”。將其添加為啟動項，實現木馬開機自動運行。在被感染計算機系統的後台連接駭客指定站點，獲取惡意程序的下載地址列表，並下載所有的惡意程序。所下載的惡意程序可能是竊取網絡游戲賬戶的木馬、廣告程序、後門等，給用戶帶來不同程度的損失。強行篡改注冊表，實現進程映像劫持，導致用戶運行某些安全程序時實際上運行的是“露薩”變種as，甚至系統自帶的任務管理器也無法正常運行。在被感染計算機系統的後台秘密監視正在運行的進程名和已打開的窗口標題，一旦發現某些安全軟件程序正在運行，馬上將其強行關閉。破壞注冊表項，致使無法顯示隱藏文件。遍歷用戶計算機的C到Z驅動器，創建病毒副本，利用U盤、移動硬盤等移動設備進行傳播。“露薩”變種as執行安裝程序完畢後會自我刪除。另外，“露薩”變種as還可以自升級。

病毒名稱：Trojan/Vaklik.la

中 文 名：“偽顆粒”變種la

病毒長度：114556字節

病毒類型：木馬

危險級別：★★

影響平台：Win 9X/ME/NT/2000/XP/2003

Trojan/Vaklik.la“偽顆粒”變種la是“偽顆粒”木馬家族的最新成員之一，采用高級語言編寫，並經過添加保護殼處理。“偽顆粒”變種la運行後，自我復制到被感染計算機系統的“%SystemRoot%/system32/”目錄下並重新命名為“mmvo.exe”。修改注冊表，實現木馬開機自動運行。在“%SystemRoot%/system32/”目錄下釋放一個惡意DLL組件文件“mmvo0.DLL”，並將其插入到“explorer.exe”進程中加載運行，隱藏自我，防止被查殺。在所有盤符根目錄下創建“autorun.inf”文件和病毒文件“qvimi.exe”，實現雙擊盤符啟動“偽顆粒”變種la運行。在後台秘密監視用戶打開的窗口標題，盜取網絡游戲玩家的游戲賬號、游戲密碼、倉庫密碼、角色等級、金錢數量、所在區服、計算機名稱等信息，並在後台將玩家信息發送到駭客指定的遠程服務器上，致使玩家的游戲賬號、裝備物品、金錢等丟失，給游戲玩家帶來非常大的損失。

針對以上病毒，建議廣大電腦用戶：

1、請立即升級江民殺毒軟件，開啟新一代智能分級高速殺毒引擎及各項監控，防止目前盛行的病毒、木馬、有害程序或代碼等攻擊用戶計算機。

2、江民KV網絡版的用戶請及時升級控制中心，並建議相關管理人員在適當時候進行全網查殺病毒，保證企業信息安全。

3、全面開啟BOOTSCAN功能，在系統啟動前殺毒，清除具有自我保護和反攻殺毒軟件的惡性病毒。

4、江民殺毒軟件的虛擬機脫殼技術，針對目前主流殼病毒進行虛擬脫殼處理，有效清除“殼病毒”。

(責任編輯：董建偉)

　　作者：kaduo

【賽迪網-IT技術報道】“傳奇Ⅲ盜號者65536”（Win32.PSWTroj.OnLineGames.as.65536），該病毒是網絡游戲《傳奇3》的盜號木馬。病毒運行後會修改注冊表生成啟動項，把盜取的賬號信息通過網頁提交的方式發送到木馬種植者手上。

“Word塗改液693269”（Win32.Troj.Sola.693269），這是一個惡作劇木馬程序。它能夠利用AUTO技術進行傳播，運行起來就會搜索電腦中全部的Word文檔，將它們的後綴改為exe。不過，被改了後綴的Word文件並不會遭到破壞，依然可以打開。

一、“傳奇Ⅲ盜號者65536”（Win32.PSWTroj.OnLineGames.as.65536） 威脅級別：★

近來網絡游戲《傳奇3》的盜號木馬有增多的傾向，該游戲玩家需注意帳號安全。本篇預警播報中的病毒就是個《傳奇3》盜號木馬的變種。

病毒進入系統後會釋放出三個文件，分別為%Windows%/system32/目錄下的kcoin32.exe和kcoin32.dll，以及%WINDOWS%/LastGood/system32/drivers/目錄下的cdaudio.sys。其中kcoin32.exe是病毒主文件，它會被寫入注冊表啟動項，使病毒實現開機自啟動。

當病毒運行起來。它會把dll文件注入到系統當中進程中，不斷搜索是否有網絡游戲《傳奇3》，如有則注入其中，通過內存讀取的方式獲得玩家的帳號和密碼，然後通過網頁提交的方式發送到病毒作者指定的網絡地址http://www.*******.cn/cqzhudao/post.asp，給用戶帶來虛擬財產的損失。

二、“WORD塗改液693269”（Win32.Troj.Sola.693269） 威脅級別：★

這個病毒對系統沒有明顯的破壞，它的行為偏向於惡作劇。如果中了該毒，並且用戶系統中有WORD文檔，那麼這些文檔就會被更改後綴名稱。

此毒進入電腦後，會釋放出大量的病毒文件，大部分集中在%WINDOWS%/Fonts/HIDESELF../目錄中。其中對病毒運行起到主要作用的是%WINDOWS%/Fonts/HIDESELF../目錄下的Function.dll，以及%WINDOWS%/Fonts/HIDESELF../solasetup/目錄下的SOLA.BAT。

病毒修改系統注冊中的多項數據，使自己實現開機自啟動。一旦順利運行起來，就會搜索電腦中全部的WORD文檔，把它們的後綴改為了exe。另外，為實現快速傳播，該毒會在所有的磁盤分區下生成文件Autorun.inf和文件夾SOLA，而SOLA文件夾下有一個Function.dll文件和一個SOLA.bat批處理文件。順便一提，這些文件的屬性都是系統隱藏文件。

就毒霸反病毒工程師目前的觀察而言，這個病毒除了將WORD文檔改後綴外，沒有別的惡意行為，並且這些被修改了的WORD文檔依然能夠打開。

金山反病毒工程師建議

1.最好安裝專業的殺毒軟件進行全面監控，防范日益增多的病毒。用戶在安裝反病毒軟件之後，應將一些主要監控經常打開（如郵件監控、內存監控等）、經常進行升級、遇到問題要上報，這樣才能真正保障計算機的安全。

2.由於玩網絡游戲、利用QQ等即時聊天工具交流的用戶數量逐漸增加，所以各類盜號木馬必將隨之增多，建議用戶一定要養成良好的網絡使用習慣，如不要登錄不良網站、不要進行非法下載等，切斷病毒傳播的途徑，不給病毒以可乘之機。

(責任編輯：董建偉)