AUTO网页弹射器危害升级

　　“AUTO网页弹射器”（Win32.Troj.MnLess.65536） 威胁级别：★

　　病毒进入电脑系统后，会释放出两个病毒文件，分别为%Program Files%\Uninstall Information\目录下的ichdf.exe，以及%windows%\inf\目录下的svchost.exe.然后，病毒修改注册表，将这两个文件的相关信息写入注册表的启动项。这样，以后病毒就可以随着系统的启动而自动运行起来。

　　与此同时，病毒在全部的磁盘分区中生成AUTO病毒文件，只要用户试图双击打开染毒的磁盘，病毒就会被再次激活。在此之后，只要用户在这台电脑上使用U盘等移动存储器，病毒就会将其感染，借机扩大自己的地盘。

　　Ichdf.exe和svchost.exe这两个病毒文件运行起来后，立刻查找并关闭金山、卡巴斯基、360、瑞星等厂家的安全软件。并且，它们还会互相守护，如果一个进程被用户或安全软件结束掉了，另一个会马上再次修改注册表“复活”它，这样一来，就加大了对病毒进行查杀的难度。

　　最后，病毒修改用户IE浏览器的设置，当用户在浏览器的地址栏中输入网址时，病毒就会立即弹出一些木马种植者指定的网页，迫使用户点击。

　　“网游窃贼131072”（Win32.Troj.OnlineGames.vx.131072） 威胁级别：★

　　病毒顺利进入用户的电脑系统后，会在系统盘的%windows%目录下释放出cmdbcs.exe病毒文件，在%windows%\system32\目录下释放出cmdbcs.dll病毒文件，之后就删除掉自己的原文件，让用户不易发现它进入电脑时留下的痕迹。病毒还修改注册表启动项，把自己的信息加入其中，达到以后都可以随系统自动启动之目的。

　　病毒运行起来后，就注入系统进程，开始查找网络游戏《完美世界》的游戏窗口“ElementClient Window”、“ZElementClient Window”，以及《浩方游戏平台》的进程“gameclient.exe”、《剑侠情缘2》的进程“SO2Game.exe”、《热血江湖》的进程“client.exe”。如果发现，就通过读写内存的方式盗取它们的用户帐号、密码，以及所在服务器等信息。

　　如果得手，就会在用户无法知晓的情况下建立远程连接，把偷来的资料都发送到http://j*1.so****jj.com/c**h/lin.asp？s=%这个由木马种植者指定的邮箱，给用户造成虚拟财产的损失。

　　金山反病毒工程师建议

　　1.最好安装专业的杀毒软件进行全面监控，防范日益增多的病毒。用户在安装反病毒软件之后，应将一些主要监控经常打开（如邮件监控、内存监控等）、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。

　　2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，及时升级杀毒软件，开启防火墙以及实时监控等功能，切断病毒传播的途径，不给病毒以可乘之机。