愤怒天使病毒给受感染的文件做标记

“愤怒天使”（Win32.Angel.a.4480），这是一个感染型的病毒，该病毒会感染计算机上的exe文件，并且尝试访问指定网址下载病毒。它还具有免重复感染与自我恢复注册表的功能。

“传奇小偷180224”（Win32.Troj.Agent.180224），这是一个针对网络游戏《热血传奇》的盗号木马。当它检测到《热血传奇》的窗口，就注入游戏进程，通过内存读取的方式窃取用户的账号信息。

“愤怒天使”（Win32.Angel.a.4480） 威胁级别：★

病毒进入电脑系统后，将自身文件“Serverx.exe”复制到%windows%\System\系统目录下，并且把该文件属性设置成系统隐藏，避免用户发现。然后，修改注册表，将自己加入启动项，这样，以后它便可以随系统一起启动。同时，它随时监控注册表，如发现自己的启动项被删除，就立刻将其恢复。

病毒运行后，从系统盘开始尝试感染exe格式的可执行文件，被感染的文件有一个显著特征就是占用空间明显变大，并且无法使用。在这个过程中，病毒会生成互斥变量“Angry Angel v3.0”（中文名“愤怒天使”由此而来），给受感染的文件做标记。这样，当它再次遇到这个文件时，就能避免重复感染。这时，用户如果检查任务管理器，可从中发现名为Serverx.exe的病毒进程。

除亲自动手感染可执行文件外，此病毒还会尝试在用户不知晓的情况下连接网站http://***.91i.net/***.EXE下载更多的病毒，给用户系统带来更大破坏，造成无法估计的损失。

“传奇小偷180224”（Win32.Troj.Agent.180224） 威胁级别：★

病毒运行后，在%windows%目录下生成病毒文件IMG.exe和235780MM.dll，并修改系统注册表的启动项，将自己的相关信息加入其中，如此一来，以后每次用户启动系统时，它都能随之启动。此病毒拥有自删除功能，在完成以上工作后，它会创建一个批处理文件，将源文件删除，避免被用户发现。

每次启动成功后，病毒会始终监视用户的桌面进程，一旦检测到网络游戏《热血传奇》的窗口，便立即注入游戏进程，通过内存读取的方式获取用户的账号密码等信息，并将其发送给木马种植者，给游戏玩家造成虚拟财产的损失。

需要提及的是，此病毒仅作用于WinNT/2000/XP/2003系统，对9X系列的Window系统无影响。此外，只要不被清除，此木马将永远保持工作状态，即使玩家取回账号或新建账号，仍会再次受害。

金山反病毒工程师建议

1.最好安装专业的杀毒软件进行全面监控。建议用户安装反病毒软件防止日益增多的病毒，用户在安装反病毒软件之后，应该经常进行升级、将一些主要监控经常打开（如邮件监控、内存监控等），遇到问题要上报， 这样才能真正保障计算机的安全。

2.玩网络游戏、利用QQ聊天的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，及时升级杀毒软件，开启防火墙以及实时监控等功能，切断病毒传播的途径，不给病毒以可乘之机。