征途盗贼盗号偷装备 下载病毒成新黑窝

“征途盗贼10768”（Win32.PSWTroj.Onlinegame.dz.10768），这是一个盗取网络游戏《征途》帐号信息的盗取木马。它会在系统文件夹下的 system32 目录释放用于盗号的病毒文件，然后注入 explorer.exe进程。该病毒会不断重写自身的注册表启动项，避免自己无法顺利运行。

“海量下载器XO号”（Win32.Troj.DownArpT.xo.135168），这是一个下载者。会从网络上下载海量病毒并且会立即执行，严重占用系统资源。执行成功后，病毒源文件会自删除，使用户无法找到病毒源。它下载的病毒有不少是盗号木马，还有个别是能下载ARP病毒的其它下载者。

一、“征途盗贼10768”（Win32.PSWTroj.Onlinegame.dz.10768） 威胁级别：★

病毒成功潜入电脑系统后，在%windows%\system32\目录下释放出病毒文件ztfree0.dll，并将此文件相关信息写入系统注册表启动项，达到随系统自动启动之目的。并且，它会不断地重写注册表启动项，防止自身的启动项被删除，确保每次系统重启后，它都能顺利运行。

病毒开始运行后，将ztfree0.dll文件注入 explorer.exe 桌面进程，搜索是否有启动的《征途》进程zhengtu.dat，如有，就立即注入其中，通过读取 zhengtu.dat 进程内存的方式盗取用户的帐号、密码等信息。

窃取到帐号信息后，病毒就会在用户不知晓的情况下建立远程连接，将它们发送到“http://www.w***8.org/o****d/zt/l**.asp?srv=”这一木马作者指定的地址上，给用户造成虚拟财产的损失。

二、“海量下载器XO号”（Win32.Troj.DownArpT.xo.135168） 威胁级别：★★

病毒运行后，会在系统盘中生成数量极大的病毒文件群，主要集中在系统盘根目录、%Content.IE5%目录、%windows%目录、%windows%\fonts\目录、%windows%\system32\目录下。其中%windows%\目录下的upxdnd.exe病毒文件很值得注意，因为它的相关信息会被加入注册表启动项，这使得病毒在每次系统重启时都能随之启动。之后，病毒就会立即自删除源文件，使用户无法找到病毒源。

当完成以上步骤，病毒就开始连接http://www.n***23***1.com/这一远程地址，下载并立即运行大量其它病毒文件，占用大量系统资源，造成系统严重瘫痪。需要提及的是，这些下载的病毒文件，其文件名是由1~20的数字加上EXE后缀构成。

在该病毒下载的“帮凶”中，有不少是盗号木马，会盗取各种网络游戏和即时聊天工具的帐号信息。还有个别病毒会下载ARP病毒，当用户中了ARP病毒后，在同一个局域网内的其它计算机都有可能遭受欺骗，造成局域网极其不稳定。

如果使用“金山反间谍”的隐蔽软件扫描功能对系统进行扫描，在得出的信息中可发现该病毒还会破坏userinit.exe系统文件以及已安装的安全软件。一旦病毒破坏了userinit.exe系统文件，用户在重启系统后，就可能无法正常登录系统，甚至一直停留在登录界面。而当安全软件都被破坏后，用户的系统安全性将大大降低，更多的病毒将乘虚而入，给用户造成更大损失。

金山反病毒工程师建议

1.最好安装专业的杀毒软件进行全面监控。建议用户安装反病毒软件防止日益增多的病毒，用户在安装反病毒软件之后，应该经常进行升级、将一些主要监控经常打开（如邮件监控、内存监控等），遇到问题要上报， 这样才能真正保障计算机的安全。

2.玩网络游戏、利用QQ聊天的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，及时升级杀毒软件，开启防火墙以及实时监控等功能，切断病毒传播的途径，不给病毒以可乘之机。