Word塗改液木馬程序惡作劇篡改Word格式

　　作者：kaduo

【賽迪網-IT技術報道】“傳奇Ⅲ盜號者65536”（Win32.PSWTroj.OnLineGames.as.65536），該病毒是網絡游戲《傳奇3》的盜號木馬。病毒運行後會修改注冊表生成啟動項，把盜取的賬號信息通過網頁提交的方式發送到木馬種植者手上。

“Word塗改液693269”（Win32.Troj.Sola.693269），這是一個惡作劇木馬程序。它能夠利用AUTO技術進行傳播，運行起來就會搜索電腦中全部的Word文檔，將它們的後綴改為exe。不過，被改了後綴的Word文件並不會遭到破壞，依然可以打開。

一、“傳奇Ⅲ盜號者65536”（Win32.PSWTroj.OnLineGames.as.65536） 威脅級別：★

近來網絡游戲《傳奇3》的盜號木馬有增多的傾向，該游戲玩家需注意帳號安全。本篇預警播報中的病毒就是個《傳奇3》盜號木馬的變種。

病毒進入系統後會釋放出三個文件，分別為%Windows%/system32/目錄下的kcoin32.exe和kcoin32.dll，以及%WINDOWS%/LastGood/system32/drivers/目錄下的cdaudio.sys。其中kcoin32.exe是病毒主文件，它會被寫入注冊表啟動項，使病毒實現開機自啟動。

當病毒運行起來。它會把dll文件注入到系統當中進程中，不斷搜索是否有網絡游戲《傳奇3》，如有則注入其中，通過內存讀取的方式獲得玩家的帳號和密碼，然後通過網頁提交的方式發送到病毒作者指定的網絡地址http://www.*******.cn/cqzhudao/post.asp，給用戶帶來虛擬財產的損失。

二、“WORD塗改液693269”（Win32.Troj.Sola.693269） 威脅級別：★

這個病毒對系統沒有明顯的破壞，它的行為偏向於惡作劇。如果中了該毒，並且用戶系統中有WORD文檔，那麼這些文檔就會被更改後綴名稱。

此毒進入電腦後，會釋放出大量的病毒文件，大部分集中在%WINDOWS%/Fonts/HIDESELF../目錄中。其中對病毒運行起到主要作用的是%WINDOWS%/Fonts/HIDESELF../目錄下的Function.dll，以及%WINDOWS%/Fonts/HIDESELF../solasetup/目錄下的SOLA.BAT。

病毒修改系統注冊中的多項數據，使自己實現開機自啟動。一旦順利運行起來，就會搜索電腦中全部的WORD文檔，把它們的後綴改為了exe。另外，為實現快速傳播，該毒會在所有的磁盤分區下生成文件Autorun.inf和文件夾SOLA，而SOLA文件夾下有一個Function.dll文件和一個SOLA.bat批處理文件。順便一提，這些文件的屬性都是系統隱藏文件。

就毒霸反病毒工程師目前的觀察而言，這個病毒除了將WORD文檔改後綴外，沒有別的惡意行為，並且這些被修改了的WORD文檔依然能夠打開。

金山反病毒工程師建議

1.最好安裝專業的殺毒軟件進行全面監控，防范日益增多的病毒。用戶在安裝反病毒軟件之後，應將一些主要監控經常打開（如郵件監控、內存監控等）、經常進行升級、遇到問題要上報，這樣才能真正保障計算機的安全。

2.由於玩網絡游戲、利用QQ等即時聊天工具交流的用戶數量逐漸增加，所以各類盜號木馬必將隨之增多，建議用戶一定要養成良好的網絡使用習慣，如不要登錄不良網站、不要進行非法下載等，切斷病毒傳播的途徑，不給病毒以可乘之機。

(責任編輯：董建偉)