华军每周电脑病毒综合播报

同的游戏做出不同的处理，要么是读取内存，要么是键盘记录，总之，就是要达到盗号目的。而如果匹配失败，病毒则退出，潜伏在电脑中继续等待。

　　病毒作者为了让病毒长久地赖在用户电脑中，给病毒设置了自我保护功能，它阻止用户查杀自己的DLL文件，并每隔五分钟就结束一次匹配成功的游戏进程，提高盗号成功的机率。

　　4月11日

　　一、“VBS自动木马下载器11164”(VBS.AutoRun.al.11164) 威胁级别：★

　　这一个VBS格式的网页病毒，主要功能是下载木马程序。它的基本原理并不复杂，但因为能够通过网页挂马和AUTO传播的方式进行扩散，大面积传播的趋势较高。

　　病毒进入电脑后，立即释放病毒文件“.vbs”到系统盘的%WINDOWS%\system32\目录和%WINDOW%\system32\wbem\目录下。注意，这个“.vbs”是没有名字的，这可以作为识别它的特征。

　　接着，病毒修改系统时间至2003年，致使卡巴斯基等依赖系统时间来进行激活和升级的杀毒软件失效。当然，如果你的电脑中有其它软件也是依赖系统时间的，那它们也会受到影响。与此同时，病毒会搜索连接到中毒电脑上的所有存储设备，比如U盘和本地硬盘，在它们的根目录中创建autorun.inf文件，实现自动播放功能。这样一来，它就能够在各种存储设备之间自由地传播，不断扩大传染范围。

　　毒霸反病毒工程师在病毒代码中发现一个名为http://2**3.cn/x*W/X1.ASP的网址，经检验，这是病毒作者指定的远程服务器。病毒会悄悄连接它，下载其它木马文件，以“.exe”的名称隐藏到%WINDOWS%\system32\目录下运行，引发更多无法估计的损失。

　　二、“ARP蜗牛745472”(Win32.TrojDownloader.Delf.745472) 威胁级别：★★

　　ARP病毒最令人无法忍受的地方就是它对网速的影响。整个局域网中，只要有一台电脑中了ARP，其余电脑的网速都会被拖后腿，严重时甚至会死机。本则预警播报所介绍的就是这样一个病毒。

　　该病毒进入用户系统后，释放文件、并修改系统注册表实现自动运行。当它成功运行后，会欺骗局域网内所有主机和路由器，向它们发送大量垃圾信息，并冒充成网关，让所有上网的数据都必须经过中毒电脑。

　　在这个过程中，由于其他用户原来是直接通过路由器上网，而现在转由通过病毒主机上网，那么在切换的时候就会断一次线。等再连接上后，网速就会越来越慢，直到掉线。给用户的使用造成极大不便。

　　喜欢手动杀毒的用户，可在系统盘中找到病毒释放出的五个病毒文件，分别为%WINDOWS%\system32\目录下的packet.dll、wanpacket.dll、wpcap.dll，以及%WINDOWS%\Cache\目录下的Arpmm.exe，还有%WINDOWS%\system32\drivers\目录下的npf.sys。另外需告知大家的是，该病毒具备自我删除功能，运行完毕后，它就会自我删除，使得用户难以找到它。

　　瑞星：

　　4月7 日

　　“西游木马变种ACD(Trojan.PSW.Win32.XYOnline.acd)”病毒：警惕程度★★★☆，盗号木马，通过网络传播，依赖系统：Windows NT/2000/XP/2003。

　　该木马运行后，在系统目录下释放msosdohs00.Dll、msosfpids32.Sys病毒文件，修改注册表实现随系统启动。不断搜索杀毒软件进程，并试图将其强行关闭，使得某些杀毒软件不能正常运行。窃取《大话西游2》的游戏账号和密码，并将其发送出去。

　　反病毒专家建议电脑用户采取以下措施预防该病毒：1、安装正版杀毒软件、个人防火墙和卡卡上网安全助手,并及时升级，瑞星杀毒软件每天至少升级三次;2、使用“瑞星系统安全漏洞扫描”，打好补丁，弥补系统漏洞;3、不浏览不良网站，不随意下载安装可疑插件;4、不接收QQ、MSN、Email等传来的可疑文件;5、上网时打开杀毒软件实时监控功能;6、把网银、网游、QQ等重要软件加入到“