安天实验室8月26日病毒预警

安天实验室8月26日病毒预警
出处：安天实验室 时间：2008年8月26日
  
一、“盗窃者stfb”（Trojan-GameThief.Win32.OnLineGames.stfb） 威胁级别：★★★
    病毒运行后，拷贝自身到%WinDir%\help目录下，重命名为F3C74E3FA248.exe并更改文件属性为隐藏、系统，在同一目录下释放动态库F3C74E3FA248.dll并设置文件属性为隐藏、系统；修改注册表键值以使进程explorer.exe以及由explorer.exe启动的进程自动加载动态库F3C74E3FA248.dll；病毒将F3C74E3FA248.dll注入到explorer.exe等用户级进程中；枚举窗口,查找窗口类名为“YahooBuddyMain”的窗口，通过使用API函数GetDlgItem、GetWindowTextA试图盗取Yahoo Messenger的账号和密码，以网络收信空间的形式发给木马种植者；病毒在系统目录下释放并运行文件1.bat，该文件循环检测病毒原文件所在目录，当发现病毒文件时删除病毒文件，并删除自身，以达到更加隐蔽的效果。

二、“盗窃者acsr”（Trojan-PSW.Win32.OnLineGames.acsr） 威胁级别：★★★
    该病毒属于木马类，病毒运行后复制自身到%Temp%目录下， 更名为tru1.tmp，在各个驱动器根目录下衍生du08sout.cmd和autorun.inf文件，以达到用户双击盘符运行病毒的目的；衍生文件到%System32%目录下，将衍生文件加载到Explorer.exe进程；修改注册表创建启动项，使病毒文件随机运行；修改注册表，使用户无法显示隐藏文件；为各个盘符设置打开方式；连接网络下载病毒文件，执行下载的病毒文件时加载动态链接库文件到桌面进程时，将导致桌面进程崩溃；病毒运行完毕后删除自身。

安天反病毒工程师建议
    1.最好安装安天防线防范日益增多的病毒。用户在安装反病毒软件之后，应将病毒监控功能打开、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。
    2.安天反病毒应急中心及时进行了病毒库更新，升级安天防线到2008年8月26日的病毒库即可查杀以上病毒；如未安装安天防线请点击此处免费下载最新版安天防线来防止病毒入侵。