偽裝下載器使殺軟失效下載病毒

　　1月24日:“偽裝下載器106496”（Win32.Troj.DownLoader.wd.106496），這是一個下載者木馬。它如果發現系統上有殺毒軟件“卡巴斯基”的進程，就會修改系統時間為2000年，使卡巴失效。它會不斷重寫自己在注冊表中的數據、結束大量安全軟件進程，以保證自己隨時處於最佳的“作案狀態”。然後在後台連接指定的地址，下載大量的惡意程序。

　　“網游盜號木馬17109”（Win32.Troj.OnlineGames.il.17109），這是一個能盜取系統多個網絡游戲帳號信息的木馬程序。它會關閉殺毒軟件“卡巴斯基”和“瑞星”的監控提示窗口，然後注入目標進程中，執行相關的盜號行為。

　　一、“偽裝下載器106496”（Win32.Troj.DownLoader.wd.106496） 威脅級別：★

　　病毒進入用戶系統後，在%WINDOWS%sysmte32目錄下釋放出一個冒充系統文件的隱藏病毒文件winscksow.dll，然後立即開始查找系統中是否有殺毒軟件“卡巴斯基”的進程avp.exe，如果發現，它就修改系統時間為2000年，令依賴系統時間進行激活和升級的卡巴失效。

　　接著，病毒創建線程，不斷重寫注冊表啟動項重的相關數據，讓自己以後都能隨系統啟動而運行起來。同時它查找系統桌面進程 explorer.exe ，把之前生成的winscksow.dll注入其中利用它的空間來運行自己，從而減少自己被用戶發現的機會。

　　病毒運行起來後，會首先查找並強行關閉毒霸、瑞星、麥咖啡、360安全衛士、風雲防火牆等安全軟件的進程，如果能夠順利解決掉安全軟件，病毒便在後台悄悄建立遠程連接，從木馬種植者指定的地址http:/ /m**p.lo**m*ll.cn/vm下載6個惡意程序文件，並將它們以0winecest.exe、1winecest.exe……5winecest.exe這樣的文件名存放到%WINDOWS%目錄下。由於這些惡意程序的功能多樣，因此用戶的系統安全將遭受無法估計的眾多威脅。

　　二、“網游盜號木馬17109”（Win32.Troj.OnlineGames.il.17109） 威脅級別：★

　　病毒進入電腦系統後，會釋放出兩個病毒文件，分別是%WINDOWS%目錄下的SHAProc.exe和%WINDOWS%system32目錄下的SHAProc.dll。

　　接著，病毒迅速創建線程，搜索殺毒軟件“卡巴斯基”和“瑞星”的進程，發現後就緊緊盯住它們的提示窗口。如發現它們試圖彈出窗口，向用戶報告系統中的異常，就搶先將其關閉，使用戶無法知道自己電腦中正在發生的情況。

　　與此同時，病毒修改系統注冊表，將自己的相關數據寫入啟動項，實現開機自啟動之目的，接著，就不斷查找網絡游戲《破天一劍》、《風火之旅》、《劍俠情緣2》、《征服》和“浩方”網絡對戰平台的進程。如發現，便注入其中竊取用戶的帳號信息，並悄悄建立遠程連接，把偷得的信息按游戲名稱發送到木馬種植者安排好的不同地址。給用戶造成虛擬財產的損失。