6.13毒报：毒蛆破坏防火墙盗取机密

　“网游盗号木马69713”（Win32.Troj.GameOnlineT.fx.69713），这是一个网游盗号木马。它会释放出随机命名的病毒文件，然后利用它们来盗取用户电脑里的网络游戏《QQ三国》和“茶苑游戏大厅”的帐号信息。

　　“毒蛆”（Win32.Troj.Zbot.54784），这是一个木马风险程序。它会破坏防火墙，窃取用户电脑中的敏感信息并发送给病毒作者，另外，它还会破坏用户计算机系统内的一些应用程序、数据库、压缩文件、图片、文档等，并弹出大量广告网页。

　　一、“网游盗号木马69713”（Win32.Troj.GameOnlineT.fx.69713） 威胁级别：★

　　这个盗号木马可同时盗取网络游戏《QQ三国》和“茶苑游戏大厅”游戏平台的帐号。

　　它进入系统后，在系统盘的%WINDOWS%目录下释放出一个.exe文件，在%WINDOWS%/system32/目录下释放出一个.dll文件。其中前者是病毒主文件，后者是用于执行盗号的文件。这两个文件的名称都是病毒根据中毒电脑上“c”盘的卷序列号计算得出来的，具有随机性。

　　病毒将exe文件写入注册表启动项，从而实现自己的开机自启动。然后将dll文件注入到系统桌面进程explorer.exe里，所搜是否运行得有网络游戏《QQ三国》和“茶苑游戏大厅”。

　　如发现有，则利用内存读取的方式盗取它们的帐号信息，发送至病毒作者指定的接收网址，给玩家造成虚拟财产的损失。

　　关于该病毒的详细分析报告，可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-troj-gameonlinet-fx-69713-50662.html

　　二、“毒蛆”（Win32.Troj.Zbot.54784） 威胁级别：★★

　　这个病毒近来出现较多变种，并且破坏能力较强，很值得注意，这也许是又一个病毒制作团伙“辛勤劳作”的结果。

　　病毒首先释放出自己的病毒文件。它的文件有两个，分别是%WINDOWS%/System32/目录下的ntos.exe和%WINDOWS/system32/wsnpoem/目录下的audio.dll。并将它们写入系统注册表，实现开机自启动。

　　当成功运行起来，病毒就会注入到除CSRSS.EXE外的所有进程中运行，这样做是为了保护自己的病毒进程不被删除。同时，它修改注册表，破坏系统中已安装了的防火墙程序，以便自己能任意连接外部网络。在这个过程中，目前市面上常见的几款防火墙都会被破坏。

　　接着，病毒就在被感染的计算机上搜索各种看上去像帐号和密码的信息，以及电脑名称、用户的真实IP地址等信息，把它们全部发送给病毒作者。这些信息一旦到了病毒作者的手中，就会被用于更多的非法用途。

　　另外，此病毒还具有随机破坏用户计算机系统内的应用程序、数据库、压缩文件、图片、文档等文件的功能。一旦它执行了破坏命令，用户就将遭遇无法估计的损失。在发作的最后，它还会修改IE浏览器的数据，使得IE弹出大量的广告网页，这些行为十分烦人和恶心。

　　不过毒霸可以完全清除该毒，已安装了毒霸的用户可以不必担心。

　　金山反病毒工程师建议

　　1.最好安装专业的杀毒软件进行全面监控，防范日益增多的病毒。用户在安装反病毒软件之后，应将一些主要监控经常打开（如邮件监控、内存监控等）、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。

　　2.由于玩网络游戏、利用QQ等即时聊天工具交流的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，如不要登录不良网站、不要进行非法下载等，切断病毒传播的途径，不给病毒以可乘之机。