2009年10月26日 【盗号木马将病毒DLL注入进程】

一、“盗号木马”（Trojan/Win32.Magania.biht[OnLineGames]） 威胁级别：★★★★
    该恶意代码文件为游戏盗号木马，病毒运行后先删除自身文件再衍生相同文件名的病毒到Windows字体目录下，防止多个病毒文件产生的冲突，调用病毒自定义的函数“JUFndB4pARSJ”模块来提升进程权限，添加注册表病毒的CLSID值、HOOK启动项，删除System32%目录下的verclsid.exe文件，病毒运行完毕后使用CMD命令删除自身文件，查找含有：图片和传真、记事本、internet explorer、acdsee的标题窗口找到后并截图将图片保存到临时目录下，将病毒DLL注入到除系统进程外的所有进程中、安装消息钩子截取用户账号信息，获取用户账户信息后通过URL方式将截取账户信息及截取到得图片发送到作者指定的地址中。

二、“vb木马afih”（Trojan/Win32.VB.afih[Dropper]） 威胁级别：★★★★
    该病毒为木马类，病毒运行后复制自身到系统目录，衍生病毒文件。修改注册表，添加启动项，以达到随机启动的目的。添加防火墙规则到Windows Firewall授权软件列表，使病毒穿透防火墙不受阻挡。强行设置主页，修改hosts文件信息。主动连接网络，下载相关病毒文件信息。


安天反病毒工程师建议
    1.最好安装安天防线防范日益增多的病毒。用户在安装反病毒软件之后，应将病毒监控功能打开、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。
    2.安天反病毒应急中心及时进行了病毒库更新，如未安装安天防线请点击此处(http://www.antiyfx.com/download.htm)免费下载最新版安天防线来防止病毒入侵。