3月27日:金山播报-金山毒霸每日病毒预警

　　金山毒霸每日病毒预警

　　“假保安诈骗木马29632”(Win32.Troj.Update.a.29632)，这是个下载器程序。它会从指定的网站下载一个伪装成安全软件的间谍工具到本地，欺骗用户说电脑上有异常，要求购买所谓的“正版软件”进行修复，达到骗取钱财的目的。

　　“魔兽地狱烈焰盗号者”(PE.Win32.PSWTroj.OnLineGames.90112)，这是一个针对网游《魔兽世界》盗号木马程序。它会关闭杀毒软件卡巴斯基的进程，然后盗取电脑上网络游戏《魔兽世界》的帐号信息。为阻止用户查杀，它还注入系统关键进程中运行，造成直接关闭进程时系统运行可能出现异常。

　　一、“假保安诈骗木马29632”(Win32.Troj.Update.a.29632) 威胁级别：★★

　　安装安全软件当然是为了保护电脑数据的安全，但如果你电脑上的安全软件不但无法保护你的电脑，还对你坑蒙拐骗，你该怎么办呢?昨天毒霸反病毒工程师就处理了这样一个“安全软件”。

　　这个“安全软件”是利用一个专门的下载器进行传播，它的下载器会通过与其它软件捆绑、流氓式安装等方式进入用户电脑。运行后会在%WINDOWS%目录下释放出下载器主文件xpupdate.exe，以及在%Programfiles%目录下生成多个其它病毒文件。

　　接着，该下载器开始收集用户的系统信息，并以指定格式发送至病毒作者安排的地址http://dow***ad.M****reAlarm.com/madownload.php，进行分析。然后根据服务器反馈的信息下载间谍软件，以MalwareAlarm.exe的名称放到系统盘的%Programfiles%\MalwareAlarm\目录下。

　　当修改注册表、实现随系统自启动后，这个间谍软件就会弹出一个虚假的提示消息，显示出“您的电脑系统中存在严重异常，请立即购买本产品正式版进行修复!”之类让用户感到恐慌的窗口。让人在不知所措中匆忙按照它的提示汇款、转账，达到骗取钱财的目的。如果说盗号木马是顶着用户的骂声作案，那这种假冒的安全软件则完全是利用电脑用户对安全软件的信任感来进行讹诈，十分可恶。

　　这类木马已经不是第一次出现，电脑用户们如果发现自己电脑中突然有莫名其妙的安全提示，一定要提高警惕，很可能你遭遇的就是这种骗子。另外，在选择安全软件时，也要像购买普通商品那样，选择形象、口碑都好的品牌，避免遭遇这些“不良厂商”。

　　关于该病毒的详细分析报告，可在金山病毒大百科中查阅：http://vi.duba.net/virus/win32-troj-update-29632-50490.html

　　二、“魔兽地狱烈焰盗号者”(PE.Win32.PSWTroj.OnLineGames.90112) 威胁级别：★★

　　病毒进入电脑后，立即修改%windows%目录下的系统文件win.ini。别看这个文件不起眼，它在系统中是负责配置Windows开机程序、警告声音、键盘响应的速度等属性的，对它进行修改，会有利于病毒下一步的破坏活动。

　　同时，病毒释放出病毒文件msoscqit00.dll，将它写入系统注册表，实现开机自启动。搜索并尝试关闭杀毒软件卡巴斯基的进程，然后将该文件注入系统进程services.exe中，用搜索进程和枚举窗口名的方式寻找《魔兽世界》的进程。一旦发现目标，病毒就会通过内存读写的方式窃取玩家的帐号信息，并将其发送到木马作者指定的多个远程服务器。

　　从注入services.exe运行，可看出病毒的狡猾。这个文件用于管理启动和停止服务，是微软Windows操作系统必不可少的一部分，如果用户试图用直接中止该进程的方式关闭病毒，电脑可能就会出现异常。看来，病毒是希望绑架services.exe ，如“地狱烈焰”般一损俱损，阻止用户查杀。不过，只要已经安装毒霸，就可免去担心了。

　　关于该病毒的详细分析报告，可在金山病毒大百科中查阅：http://vi.duba.net/virus/pe-win32-pswtroj-onlinegames-90112-50491.html

　　金山反病毒工程师建议