安天实验室7月11日病毒预警

安天实验室7月11日病毒预警
出处：安天实验室 时间：2008年7月11日
  
一、“av劫持者变种aprb”（Trojan-PSW.Win32.OnLineGames.aprb） 威胁级别：★★★

    该病毒为新破天一剑游戏盗号木马，运行后生成新的一个DLL文件插入到EXPLORER.EXE进程中，并HOOK掉瑞星，通过修改注册表来达到随机启动。当遇到QQDoctor.exe、KVsrvxp.exe、KVMonXP.exe、kissvc.exe、kwatch.exe、safeboxtray.exe、RavMod.exe、RavTask.exe、AntiArp.exe、360tray.exe等这些反病毒软件的进程就结束掉以此来保证自己的生存。通过截获用户的键盘和鼠标消息获取“新破天一剑”的账号和密码，并读取该进程目录下的userdata\currentserver.ini文件，获取用户所在游戏服务器的相关信息，通过URL发送到木马种植者指定的接收网址，造成用户的虚拟财产丢失。

二、“偷盗者变种apms”（Trojan-PSW.Win32.OnLineGames.apms） 威胁级别：★★★

    该病毒运行后释放病毒文件到%Windir%\system32\下，并删除自身，添加注册表项CLSID值。添加HOOK项，以达到当系统启动的时候利用Explorer.exe进程加载mpwdeapi.dll。劫持浏览器，添加注册表BHO项，用来当IE运行时加载mpwdeapi.dll，添加进程siwdaapi.exe，此进程修改Explorer.exe内存，获得控制权，把病毒mpwdeapi.dll文件注入到explorer.exe中。完成后结束自身进程siwdaapi.exe。此木马为《问道》游戏盗号木马。

安天反病毒工程师建议
    1.最好安装安天防线，防范日益增多的病毒。用户在安装反病毒软件之后，应将病毒监控功能打开、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。
    2.安天反病毒应急中心及时进行了病毒库更新，升级安天防线到2008年7月11日的病毒库即可查杀以上病毒；如未安装安天防线，请点击此处免费下载最新版安天防线来防止病毒入侵。