金山1.18病毒播报:"打卡签到下载者"木马伪装性强

　　“打卡签到下载者”（Win32.Troj.Autorun.mq.226304），这是个具有一定伪装性的木马程序。病毒运行后禁止用户使用部分系统工具，并自于每天9点自动运行。由于病毒进程名和系统svchost.exe进程相似，加上病毒程序图标为文件夹图标，对用户具有一定的迷惑作用。病毒会尝试搜索局域网内其它电脑的共享文件夹，将名为“New Folder.exe”的病毒文件复制到其中。病毒还会注入用户机器上的即时聊天工具“雅虎通”的进程，利用它来发送病毒网页的链结。另外，病毒还会下载恶意程序安装至用户计算机。

　　“R2盗号木马14452”（Win32.Troj.AgentT.fm.14452），这是个针对网络游戏《R2》的盗号木马。该木马修改注册表，把自己加入启动项，运行起来后注入到Explorer.exe，监视《R2》的进程，伺机盗取用户的帐号密码等信息。

　　一、“打卡签到下载者”（Win32.Troj.Autorun.mq.226304） 威胁级别：★

　　病毒进入用户系统后，会将4个病毒文件释放到电脑系统盘中，分别为%WINDOWS%目录下的hinhem.scr、scvhosts.exe，%WINDOWS%%Tasks目录下的At1.job、At2.job，以及%WINDOWS%system32目录下的autorun.ini、blastclnnn.exe、scvhosts.exe。随后，它就修改系统注册表中的相关数据，使自己可以在用户每次开机后自动运行。

　　为迷惑用户，病毒将自己伪装成WINDOWS系统自带的添加网络日志任务，并将之前生成的blastclnnn.exe病毒文件的发作时间定在每天上午9点，时间一到，病毒就会准时“上班”。如果用户查看该进程属性，便可看到其相关属性。同时，病毒会修改注册表，禁止用户使用“任务管理器”、“文件夹选项”、“注册表工具”，以防止用户查杀它。

　　在电脑重启后，病毒给之前生成的scvhosts.exe病毒文件建立进程。由于它与和系统svchost.exe进程的名称相似，如果用户不仔细检查，就不容易发现它。然后，病毒搜索局域网内的其它电脑，将起名为“New Folder.exe”的病毒文件发送到它们的共享文件夹中。病毒还会检测用户电脑上是否安装有“雅虎通”聊天工具，如有，就利用它向用户好友发送大量包含病毒网页链结的消息。

　　除此而外，病毒还会悄悄建立远程连接，从hxxp://s*tt*ng.doc.fish.cn、hxxp://www.0f**h.cn/等病毒作者指定的地址下载其它病毒，给用户的系统安全和个人隐私造成更多威胁。

　　二、“R2盗号木马14452”（Win32.Troj.AgentT.fm.14452） 威胁级别：★

　　病毒进入电脑系统后，在系统盘的%WINDOWS%Fonts目录下释放出病毒文件enwebfx.fon、kawdjaz.exe、kawdjcs.dll、kawdjzy.dll，然后修改注册表，将自己的相关数据写入启动项，使自己能在用户以后每次启动电脑时跟着运行起来。

　　如果顺利运行起来，病毒就会注入到系统桌面进程Explorer.exe中，创建独立的线程对当前正在运行的系统进程进行监视，入发现网络游戏《R2》（革命领域）的进程R2Client.exe，就通过读取内存数据的方式盗取用户的帐号密码等信息。

　　得手后，病毒在用户无法知晓的情况下建立远程连接，将数据发送到http://www.r*x*.cn/1*v/post.asp这个由木马种植者指定的地址，给用户造成虚拟财产的损失。

　　金山反病毒工程师建议

　　1.最好安装专业的杀毒软件进行全面监控，防范日益增多的病毒。用户在安装反病毒软件之后，应将一些主要监控经常打开（如邮件监控、内存监控等）、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。

　　2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，及时升级杀毒软件，开启防火墙以及实时监控等功能，切断病毒传播的途径，不给病毒以可乘之机。

　　金山毒霸反病毒应急中心及时进行了病毒库更新，升级毒霸到2008年1月18的病毒库即可查杀以上病毒；如未安装金山毒霸，可以登录http://www.duba.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816，反病毒专家将为您提供帮助。