2009年10月28日 【魔兽窃贼关闭安全软件下载病毒】

一、“魔兽窃贼”（Trojan/Win32.Small.dyq[Dropper]）
威胁级别：★★★★
    该恶意代码为下载者木马，病毒运行后动态加载sfc_os.dll系统库文件，并调用该库文件序号为#5的函数，去掉对appmgmts.dll系统文件的保护，动态加载Advapi32.dll系统库文件，并调用该库文件的RegCloseKey、OpenSCManagerA函数，开启AppMgmt服务，遍历%System32%目录下的appmgmts.dll，创建病毒文件替换系统的appmgmts.dll文件，并将病毒DLL文件时间设置为该系统DLL文件的创建时间，释放驱动文件到临时目录下，等待启动之后将删除驱动文件，该驱动文件主要行为是恢复SSDT过主动防御，调用StartServiceA函数启动AppMgmt服务，以系统服务启动病毒DLL文件，创建BAT批处理文件用于删除病毒自身，结束安全软件进程，将病毒DLL注入到svchost.exe进程中，开启IE连接网络下载病毒文件。

二、“疯狂下载者fwm”（Trojan/Win32.FraudLoad.fwm[Downloader]）
威胁级别：★★★★
    病毒运行后，释放病毒文件到系统目录下，修改注册表，添加启动项，达到随系统启动的目的。并调用rundll32.exe，通过COM调用svchost.exe，添加BHO，主动连接网络，下载大量病毒文件，并执行，严重会导致死机现象。


安天反病毒工程师建议
    1.最好安装安天防线防范日益增多的病毒。用户在安装反病毒软件之后，应将病毒监控功能打开、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。
    2.安天反病毒应急中心及时进行了病毒库更新，如未安装安天防线请点击此处(http://www.antiyfx.com/download.htm)免费下载最新版安天防线来防止病毒入侵。