安天实验室8月12日病毒预警

安天实验室8月12日病毒预警
出处：安天实验室 时间：2008年8月12日
  
一、“偷取者soiv”（Trojan-GameThief.Win32.OnLineGames.soiv） 威胁级别：★★★
    该病毒为盗新破天一剑游戏账号的木马，病毒运行之后查找%System32%目录下的Verclsid.exe文件将其删除，衍生wrqszl.dll（随机病毒名）病毒文件到%System32%目录下，并把属性设置为隐藏，注册病毒CLSID注册表值，添加HOOK项，遍历进程搜索“AVP.exe”，如找到则释放winsYs.reg文件，用来添加病毒HOOK启动项，如找不到“AVP.exe”进程，释放tf0文件到%System32%目录下，调用API对注册表添加病毒HOOK项，等待添加病毒HOOK项完毕后将tf0文件删除，调用LoadLibraryA将病毒DLL加载到进程，试图将病 毒DLL文件注入到smss.exe、csrss.exe、winlogon.exe除外的所有进程，衍生的DLL文件主要功能：通过截获当前用户的键盘和鼠标消息以获取游戏的账号及密码，发送到病毒作者指定的URL。

二、“偷取者abzm”（Trojan-PSW.Win32.OnLineGames.abzm） 威胁级别：★★★
    病毒运行后，复制自身到%WinDir%下，衍生病毒文件huifitc.dll到%System32%下；添加启动项，以达到随机启动的目的；病毒试图通过全局挂钩把huifitc.dll注入到所有进程中，遍历所有进程，发现有fjlogin.exe进程，便注入其中并监视其进程，通过截获当前用户的键盘和鼠标消息以获取网络游戏“风火之旅”的账号及密码，发送到病毒作者指定的URL；该病毒在实现完自身代码后，会结束自身进程，删除自身文件。


安天反病毒工程师建议
    1.最好安装安天防线防范日益增多的病毒。用户在安装反病毒软件之后，应将病毒监控功能打开、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。
    2.安天反病毒应急中心及时进行了病毒库更新，升级安天防线到2008年8月12日的病毒库即可查杀以上病毒；如未安装安天防线请点击此处免费下载最新版安天防线来防止病毒入侵。