5.29毒报:视觉控制监视电脑屏幕 完美世界盗号器

　“视觉控制492544”（Win32.PSWTroj.HeiDong.ab.492544），这是个远程控制木马。它伪装成正常文件的图标，诱骗用户点击，运行起来后就监视用户的屏幕和视频设备，帮助黑客对用户进行远程控制。

　　“完美世界盗号器114688”（Win32.PSWTroj.OnlineGames.hu.114688），该病毒是网络游戏《完美世界》的盗号木马。病毒运行后会添加注册表增加启动项，注入进程，把截获到的账号和密码等信息发送到木马种植者的邮箱当中。

　　一、“视觉控制492544”（Win32.PSWTroj.HeiDong.ab.492544） 威胁级别：★

　　这个病毒的行为类似于灰鸽子，运行起来后就会监视用户系统的操作，并建立后门，方便黑客非法登录和控制用户电脑。

　　此病毒比较大的一个特点是，它会伪装正常的常用文件的图标，诱骗用户点击，使它得以运行。至于采用何种图标，则根据变种的不同而不同。在此篇预警播报所描述的版本中，它采用的是QQ即时聊天工具的图标，但在其它版本中，则存在有WORD文档、文件夹、MSN等多种图标。

　　当被点击激活后，病毒就释放出文件userdata.exe和userdata.dll到%WINDOWS%目录下。不过，这些文件的名称不固定，它们也可能采用其它看似正常的系统文件的名称。接着，病毒就注入svchost.exe等系统进程，隐蔽地运行自己。

　　如果顺利运行起来，病毒就与病毒作者（黑客）指定的远程地址连接，使得黑客可以监视用户的电脑屏幕，以及在无任何提示的情况下启动视频设备，并且还可以执行任何他想要的其它非法操作。

　　二、“完美世界盗号器114688”（Win32.PSWTroj.OnlineGames.hu.114688） 威胁级别：★

　　这个盗号木马利用消息监控的方式来盗取《完美世界》玩家的帐号和密码。它的原理普通，但由于借助下载器和捆绑其它文件，近来该毒和它的若干变种的传染趋势有所增强。

　　病毒进入系统后，会试图在系统盘下建一个名为Syswm1h的隐藏文件夹，然后将自己的文件svchost.exe和Ghook.dll释放到其中。不过，由于病毒作者指定的路径为C盘根目录，如果你的系统盘不在C盘上，那病毒就无法完成这个动作了。

　　如果可以成功释放出文件，病毒就修改系统注册表实现开机自启动，并将DLL文件注入桌面进程Explorer.exe，搜寻《完美世界》的进程。然后就建立消息监视，从游戏客户端与服务器端的通讯中截获帐号与密码，发送到木马种植者指定的邮箱。令玩家受到虚拟财产的损失。

　　金山反病毒工程师建议

　　1.最好安装专业的杀毒软件进行全面监控，防范日益增多的病毒。用户在安装反病毒软件之后，应将一些主要监控经常打开（如邮件监控、内存监控等）、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。

　　2.由于玩网络游戏、利用QQ等即时聊天工具交流的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，如不要登录不良网站、不要进行非法下载等，切断病毒传播的途径，不给病毒以可乘之机。