华军每周电脑病毒综合播报

　　金山：

　　4月7日

　　一、“QQ自动关闭盗号者73216”(Win32.Troj.QQPassT.ex..73216)威胁级别：★

　　针对即时聊天软件的盗号木马依然没完没了，在周末侦测到的新生木马中，这类恶意程序所占比例仅次于网游盗号木马。

　　这个盗号木马利用强迫用户重新登录的方式来获取QQ密码。它在进入电脑后，释放病毒文件qqmmck.vxd和vercls.exe到%WINDOWS%\system32\文件夹下，并修改注册表，让自己可以随系统启动而自动运行。

　　只要顺利实现自动运行，木马就会注入桌面进程explorer.exe，通过远程线程激活病毒代码，进行代码注入。它在所有已启动的程序中寻找QQ的进程，将其关闭，迫使用户不得不重新登录。

　　当QQ重启后，病毒会查找QQ登陆窗口，通过读写内存的方式获取用户输入的账号和密码，以网络收信空间的方式发送给病毒作者，造成用户QQ号丢失。如果在正常使用QQ等即时聊天工具的情况下发现QQ自动关闭，很有可能就是中了此毒，请勿立即登录，而应该使用毒霸或清理专家这样的安全辅助工具对系统进行清扫。

　　二、“木马下载器43801”(Win32.TrojDownloader.Agent.fi.43801)威胁级别：★

　　这个病毒是一个典型的木马下载器，它如果能够顺利地运行起来，就会在电脑系统的后台开启单独的线程，从网络下载大量的其它木马。经毒霸反病毒工程师的分析，它下载的木马，大部分为网游盗号程序，很明显，它也是病毒黑色产业链中的一份子。

　　病毒进入用户电脑后，在系统盘的%WINDOWS%\system32\目录下释放出病毒文件CbEvtSvc.exe。并立即将它的相关数据写入系统注册表，以实现自启动。需提及的时，在完成对注册表篡改的过程中，该病毒会将自己伪装成ImagePath(图像路径)的相关模块，试图迷惑用户。

　　对注册表操作熟悉的用户，在检查该病毒属性时可发现，病毒启动项虽然名为ImagePath，指向却依旧是“%SystemRoot%\System32\CbEvtSvc.exe-knetsvcs”，这就是它的狐狸尾巴。一旦它得以顺利运行，就会从2**.101.*9.82这个由病毒作者指定的地址下载大量盗号木马，引起无法估计的破坏。

　　4月8日

　　一、“时光机盗号器69632”(Win32.PSWTroj.Nilage.69632) 威胁级别：★

　　这是一个会利用修改系统时间的方法来对抗杀毒软件的盗号木马。它进入电脑后会在系统盘的%WINDOWS%system32目录下释放出病毒文件monb32drv.dll，并将其数据写入注册表启动项，实现开机自启动。这里要注意一点，病毒会对monb32drv.dll采取部分重命名的处理，它会将该文件名的第一个和第四个字母随机变化，防止杀毒软件升级后根据它的关键字来进行查杀。

　　当病毒启动后，它就修改系统时间为过去的时间，令那些需要依赖系统时间来进行激活和升级的杀毒软件瘫痪。同时，病毒调用monb32drv.dll中的函数，查找并删%WINDOWS%system32driversetc目录下的Hosts文件，解除系统的上网安全监视，让它能够利用IE登录任何它想去的网站。

　　最后，病毒会展开全局监视程序，监视用户上网时输入的所有消息，并将它们发送到病毒作者指定的远程地址。接下来，病毒作者只需进行一些简单的分析，就可以获得用户的私人敏感信息，比如各类帐号。

　　二、“风花雪月”(Win32.WinFlower.ha.95232) 威胁级别：★★

　　爱情总是在风花雪月的烂漫中随风轻扬，无论最终结果如何，总能留下一下值得回忆的东西。作家用文字记录爱情，乐师以旋律表现爱情，至于不善表达的程序员，他们展示自己心境的方法当然也就是通过代码了。

　　毒霸反