警惕“黑客遥控器9728”遥控你的电脑

　　病毒进入系统后，在系统盘根目录下释放出5个病毒文件，分别为%WINDOWS%下的0004bb58.inf和另外三个随机命名的.dll、.KEY、.sco格式文件，以及%WINDOWS%\drivers\目录下的一个.sys文件。然后，它修改注册表系统项，将自己的相关数据加入其中，使自己达到随系统启动而启动之目的。

　　为了避免用户的发现，病毒会将自己伪装为名为“rtltvb”的WINDOWS系统的服务进程，如果用户注意检查其属性，可发现它的描述为：“Microsoft .NET Framework TPM”，路径为“%sys32dir%\svchost.exe -k rtltvb”，伪装得还真像!

　　如果得以顺利运行，病毒就会读取注册表中关于代理服务器的数据，从而掌握用户的代理服务器地址。然后，它尝试在后台悄悄创建多个线程，与黑客指定的远程服务器2*1.2*7.17.2*6建立通讯，随时等待接受黑客的指令，使得用户的计算机完全处于黑客的控制之下。

　　二、“网游盗号木马14452”(Win32.Troj.AgentT.fm.14452) 威胁级别：★

　　病毒进入用户的电脑系统后，在系统盘中释放出4个病毒文件，分别为%WINDOWS%\system32\目录下的avwgein.dll、avwgemn.dll、avwgest.exe，以及%WINDOWS%\Fonts\目录下的msguasd.fon。随后，它修改注册表，将自己相关数据写入其中，达到随系统启动而启动之目的。

　　当开始运行后，病毒首先会在系统盘中搜索windows系统的第KB908531项安全补丁文件verclsid.exe，发现后立刻将它删除。接着，病毒不断注入当前已启动的进程中，并自动判断注入的进程是否为ElementClient.exe这一项，如果是，就立刻展开监控程序，截获用户的帐号和密码等数据。

　　顺利得手后，病毒就在用户无法察觉的情况下建立远程连接，把盗取所得的帐号信息发送至http:/ /www.3**678.cn/x**q/97wg/post这个由木马种植者指定的接收网址，给用户造成虚拟财产的损失。由于ElementClient.exe这一名称被《武林外传》、《完美世界》、《诛仙》等多款网络游戏采用，因此，该病毒的影响面积也较大。

　　金山反病毒工程师建议

　　1.最好安装专业的杀毒软件进行全面监控，防范日益增多的病毒。用户在安装反病毒软件之后，应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。

　　2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，及时升级杀毒软件，开启防火墙以及实时监控等功能，切断病毒传播的途径，不给病毒以可乘之机。