病毒无限次“复活” 网页弹射器危害升级

中国IT实验室12月17日报道：日前金山毒霸方面又捕获两款新病毒，尤其是针对杀毒软件的病毒愈发猖獗，病毒运行后可以关闭大部分杀毒软件，为其进一步的滋生和传染创造了环境。

“AUTO网页弹射器”（Win32.Troj.MnLess.65536），这是一个恶意软件。该程序运行后会关闭瑞星，金山，卡巴等一些常用的反病毒软件，并在用户访问网页时弹出网页。它还会在全部磁盘的目录下生成AUTO病毒文件。

“网游窃贼131072”（Win32.Troj.OnlineGames.vx.131072），这是一个网络游戏盗号木马变种。病毒运行后会复制自身至系统文件夹，注入桌面进程，查找查找《浩方游戏平台》、《剑侠情缘2》、《热血江湖》、《完美世界》等网络游戏的进程，如果存在则通过读写内存的方式盗取用户游戏帐号、密码、所在服务器等信息，然后将盗取信息发送至远程服务器。

“AUTO网页弹射器”（Win32.Troj.MnLess.65536） 威胁级别：★

病毒进入电脑系统后，会释放出两个病毒文件，分别为%Program Files%\Uninstall Information\目录下的ichdf.exe，以及%windows%\inf\目录下的svchost.exe。然后，病毒修改注册表，将这两个文件的相关信息写入注册表的启动项。这样，以后病毒就可以随着系统的启动而自动运行起来。

与此同时，病毒在全部的磁盘分区中生成AUTO病毒文件，只要用户试图双击打开染毒的磁盘，病毒就会被再次激活。在此之后，只要用户在这台电脑上使用U盘等移动存储器，病毒就会将其感染，借机扩大自己的地盘。

Ichdf.exe和svchost.exe这两个病毒文件运行起来后，立刻查找并关闭金山、卡巴斯基、360、瑞星等厂家的安全软件。并且，它们还会互相守护，如果一个进程被用户或安全软件结束掉了，另一个会马上再次修改注册表“复活”它，这样一来，就加大了对病毒进行查杀的难度。

最后，病毒修改用户IE浏览器的设置，当用户在浏览器的地址栏中输入网址时，病毒就会立即弹出一些木马种植者指定的网页，迫使用户点击。

“网游窃贼131072”（Win32..Troj.OnlineGames.vx.131072） 威胁级别：★

病毒顺利进入用户的电脑系统后，会在系统盘的%windows%目录下释放出cmdbcs.exe病毒文件，在%windows%\system32\目录下释放出cmdbcs.dll病毒文件，之后就删除掉自己的原文件，让用户不易发现它进入电脑时留下的痕迹。病毒还修改注册表启动项，把自己的信息加入其中，达到以后都可以随系统自动启动之目的。

病毒运行起来后，就注入系统进程，开始查找网络游戏《完美世界》的游戏窗口“ElementClient Window”、“ZElementClient Window”，以及《浩方游戏平台》的进程“gameclient.exe”、《剑侠情缘2》的进程“SO2Game.exe”、《热血江湖》的进程“client.exe”。如果发现，就通过读写内存的方式盗取它们的用户帐号、密码，以及所在服务器等信息。

如果得手，就会在用户无法知晓的情况下建立远程连接，把偷来的资料都发送到一个由木马种植者指定的邮箱，给用户造成虚拟财产的损失。