小偷下载器下载大量木马程序

　5月13日:“网游盗号者69901”（Win32.Troj.OnlineGamesT.ly.69901），这是一个网游盗号木马。它会修改系统注册表实现自动启动，然后盗取网络游戏《征途》、《魔兽世界》和《游戏茶苑》的帐号信息。

　　“小偷下载器73728”（Win32.TrojDownloader.Losabel.io.73728），这是一个木马下载器，它会下载大量的木马程序到用户的电脑系统中执行。

　　一、“网游盗号者69901”（Win32.Troj.OnlineGamesT.ly.69901） 威胁级别：★

　　这个木马的作案原理很普通，如果不是借助一些对抗型下载器进行下载，它是无法威胁用户的系统安全的。

　　毒霸反病毒工程师发现，这个病毒进入系统后会迅速释放出病毒文件，分别是%WINDOWS%/目录下的fiosectc.exe，以及%WINDOWS%/system32/目录下的fiosectc.dll。Fiosectc.exe是病毒的主文件，它会将该文件写入系统注册表启动项，实现开机自启动。而fiosectc.dll是负责盗号的文件，它会被注入系统桌面进程explorer.exe，不断搜索网络游戏《征途》、《魔兽世界》和《游戏茶苑》的进程。

　　如果发现目标，病毒就注入游戏进程，读取游戏账号和密码，并发送到病毒作者指定的地址http:/ /www.ck8**66.com/*****/lin111.asp中，令用户遭受虚拟财产的损失。另外，毒霸反病毒工程师发现，出于对接收赃物的保险考虑，病毒作者还给该毒设置了根据游戏种类不同而发送密码到不同子页面地址的功能。

　　二、“小偷下载器73728”（Win32.TrojDownloader.Losabel.io.73728） 威胁级别：★

　　此病毒是一个典型的木马下载器。它利用网页挂马、捆绑文件等法进入用户电脑，然后释放出病毒文件 urlmon.dll 到%WINDOWS%/system32/下，并更名为lo.dll。

　　这个文件一旦被顺利释放出来，便会注入到系统桌面进程和IE进程中，在后台建立远程连接，从病毒作者指定的地址http:/ /www.la***wn.com.cn/js下载近30个.exe格式的病毒文件。

　　下载完的文件全都保存在 %WINDOWS%/system32/ 文件夹下执行，其中的文件名主要有msnlive.exe、kavmoni.exe、kavsvchost.exe、kkk.exe，以及若干随机命名的其它文件。经毒霸反病毒工程师检查，这些病毒都是各式各样的盗号木马。如果它们在用户电脑中顺利跑起来，就能将系统中的几乎所有密码偷个精光。

　　金山反病毒工程师建议

　　1.最好安装专业的杀毒软件进行全面监控，防范日益增多的病毒。用户在安装反病毒软件之后，应将一些主要监控经常打开（如邮件监控、内存监控等）、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。

　　2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，及时升级杀毒软件，开启防火墙以及实时监控等功能，切断病毒传播的途径，不给病毒以可乘之机。