安天实验室8月28日病毒预警

安天实验室8月28日病毒预警
出处：安天实验室 时间：2008年8月28日
  
一、“偷取者zqr”（Trojan.Win32.Agent.zqr） 威胁级别：★★★
    该病毒为盗取网络游戏征途信息的木马。该病毒运行后删除自身，释放病毒文件到%System32%下，修改病毒文件创建时间，属性设置为隐藏修改注册表。注册CLSID值，添加HOOK项。修改内存，把病毒文件jlgejgei32fg.dll注入到explorer.exe中，试图将病毒DLL文件注入到除smss.exe、csrss.exe、winlogon.exe的所有进程，衍生的DLL文件主要功能：通过截获当前用户的键盘和鼠标消息以获取游戏的账号及密码，发送到病毒作者指定的URL。

二、“偷取者snxy”（Trojan-GameThief.Win32.OnLineGames.snxy） 威胁级别：★★★
    该病毒为盗梦幻西游online游戏账号的木马，病毒运行后查找%System32%目录下的Verclsid.exe，找到将其删除，衍生病毒文件“mttwfh.dll”到%System32%目录下，添加注册表注册病毒CLSID值及HOOK启动项，遍历进程搜索“AVP.exe”，如找到则释放winsYs.reg文件，用来添加病毒HOOK启动项，如找不到“AVP.exe”进程，释放tf0文件到%System32%目录下，调用API对注册表添加病毒HOOK项，等待添加病毒HOOK项完毕后将tf0文件删除，调用LoadLibraryA将病毒DLL加载到进程，试图将病毒DLL文件注入到smss.exe、csrss.exe、winlogon.exe除外的所有进程，衍生的DLL文件主要功能：通过截获当前用户的键盘和鼠标消息以获取游戏的账号及密码，发送到病毒作者指定的URL。

安天反病毒工程师建议
    1.最好安装安天防线防范日益增多的病毒。用户在安装反病毒软件之后，应将病毒监控功能打开、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。
    2.安天反病毒应急中心及时进行了病毒库更新，升级安天防线到2008年8月28日的病毒库即可查杀以上病毒；如未安装安天防线请点击此处免费下载最新版安天防线来防止病毒入侵。