病毒周报(100628至100704)

动物家园计算机安全咨询中心（ www.kingzoo.com ）反病毒斗士报：

“游戏窃取器”（Trojan/Win32.Win32.OnLineGames.bnjy[Stealer]） 威胁级别：★★

    该病毒文件为天龙八部游戏盗号木马，病毒运行后枚举屏幕上所有的顶层窗口，遍历进程查找TLBBDownload.bin进程，找到之后强行结束该进程，枚举注册表缓存信息键值下是否有"\Launch.bi"，如果找到该键值则将%Systme32%目录下的LPK.DLL文件拷贝一份到游戏目录下命名为woool.dll、gametl.dll，如果注册表找不到天龙八部游戏关键键值，则创建互斥体"ctlasdfgh"，遍历进程找到"avp.exe"、"RavMonD.exe"，找到后创建注册表服务衍生tl.dll到%TEMP%临时目录下，调用rundll32.exe加载衍生的病毒DLL文件，如果找到以上2个安全软件进程，则衍生随机病毒名文件到临时目录下，并将文件属性设置为隐藏不可见，动态加载衍生的随机病毒DLL文件，调用病毒DLL文件的Hookon模块，试图将病毒DLL注入到所有进程中，设置消息钩子拦截鼠标键盘消息截取游戏账号信息，将截取到的游戏账号及密码以URL方式发送到作者指定的地址中。

“伪装者”（Trojan/Win32.Scar.bvoj） 威胁级别：★★

    病毒运行后，释放一个伪装的系统文件到系统文件夹下，并删除木马自身。该文件用以伪装Windows系统的帮助文件，并设置该文件属性为系统隐藏的属性，使得一般用户难以察觉。程序运行后，会调用services.exe加载自身为服务项，然后通过修改和调用svchost.exe进程，访问远程服务器，伺机接受远程指令，下载更多恶意程序到受感染计算机，给计算机安全造成重大隐患。


动物家园计算机安全咨询中心反病毒工程师建议：

   1、从其他网站下载的软件或者文件，打开前一定要注意检查下是否带有病毒。  
   2、别轻易打开陌生人邮件及邮件附件、连接等。
   3、用户应该及时下载微软公布的最新补丁，来避免病毒利用漏洞袭击用户的电脑。
   4、尽量把系统帐号密码设置强壮点，勿用空密码或者过于简单。
   5、发现异常情况，请立即更新你的反病毒软件进行全盘查杀或者登陆bbs.kingzoo.com(安全咨询中心)咨询