木马“下载者28070”修改系统时间为2000年

　　“下载者28070”(Win32.Troj.Agent.yk.28070)这是一个下载者木马。他会从黑客网址下载大量的木马病毒，通过修改注册表、修改系统时间、映像劫持等方式破坏安全软件的正常运行。还会删除所有Ghost备份文件，感染所有网页文件、插入黑客网站的代码，并关闭含有“杀毒“、“木马”等字样的窗口，阻止用户寻找解决方法。

　　“魔域跑跑木马53248”(Win32.Troj.OnlineGames.ey.53248)这是一个盗号木马程序，它将自己注入到系统进explorer.exe中寻找网游《魔域》与《跑跑卡丁车》的进程，并盗窃它们的账号密码信息。它还能自动关闭卡巴斯基的警告框，对抗卡巴斯基的监控。

　　一、“下载者28070”(Win32.Troj.Agent.yk.28070) 威胁级别：★★

　　这是一个下载者木马病毒，会从黑客网站上下载大量其他木马病毒。病毒运行之后，在用户系统盘目录%windows%\system32\下生成病毒文件systom.exe和auToRun.inf。然后，它开始修改注册表。病毒首先将之前生成的systom.exe加入启动项，以便实现自动启动。随后，它继续修改注册表，禁止windows系统的自动更新、禁止显示隐藏文件、禁止系统进入安全模式。并修改系统时间为2000年，导致部分杀毒软件失效。它还会搜索电脑中已有的安全软件进行映像劫持，致使安全软件无法使用，同时，病毒检查所有磁盘，通过已经存在systom.exe利用复制的方法，在系统各盘符中生成新的AUTO病毒：auToRun.inf和nx.exe，删除所有Ghost备文件（扩展名为.GHO），感染所有的网页文件，插入黑客网站代码。这样，当用户开启网页时，会被指向到黑客指定的网站。而且，病毒还会关闭含有“杀毒“、“木马”等字样的窗口，阻止受害用户上网寻找解决它的方案(此方法和AV终结者类似)。当完全破坏了计算机的安全系统，木马便开始畅通无阻地下载木马病毒。它连接http://*****love.cn/tongji/tj.asp和http://****80.com/xx.dll两个网址，分五次下载大量的其他木马病毒以及接收木马制作者的新指令，给计算机用户造成无法估计的损失。

　　二、“魔域跑跑木马53248”(Win32.Troj.OnlineGames.ey.53248) 威胁级别：★★

　　这是一个典型的游戏盗号木马，针对网络游戏《魔域》和《跑跑卡丁车》制造。木马运行后，先在%windir%目录和%systemdir%目录下分别释放出GenProtect.exe与GenProtect.dll文件。然后修改注册表，将GenProtect.exe项加入启动项，这样在以后每次系统启动时，它也会随之启动。

　　接下来，木马将GenProtect.dll注入到explorer.exe进程，窥视系统中的《魔域》游戏进程soul.exe和《跑跑卡丁车》游戏窗口(ZElementClient Window)，如果发现它们，则立刻注入到其中盗取信息，并通过URL发送到http://www.*****999.com/myqqq/shou.asp和http://www.****10.com/moyu1122/shou.asp地址。在监视账号信息的同时，GenProtect.dll还会监视卡巴斯基安全软件的警告框(AVP.AlertDialog)，当发现卡巴斯基试图弹出的警告框提醒用户时，便立刻关闭该警告框，使用户无法知道病毒已经运行起来，因此用户的系统安全性将大大降低，最终导致用户的网络虚拟财产遭受损失的可能。

　　金山反病毒工程师建议

　　1.最好安装专业的杀毒软件进行全面监控。建议用户安装反病毒软件防止日益增多的病毒，用户在安装反病毒软件之后，应该经常进行升级、将一些主要监控经常打开（如邮件监控、内存监控等），遇到问题要上报， 这样才能真正保障计算机的安全。

　　2.玩网络游戏、利用QQ聊天的用户会有所增多，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，及时升级杀毒软件，开启防火墙以及实时监控等功能，切断病毒传播的途径，不给病毒以可乘之机。