秘密记录员关闭杀软打开后门

　　“机器狗变种53248”（Win32.Troj.Agent.dd.53248），这是一个机器狗变种。病毒运行后修改注册表，映像劫持大量安全软件，导致它们无法正常运行。同时它还释放驱动文件，实现自保护。最后，病毒会通过网址获得木马种植者提供的最新病毒列表，下载大量木马至用户计算机。

　　“秘密记录员”（Win32.Troj.Agent.um.401408），该木马运行后，监视系统是否运行有安全软件（如360、金山反间谍、卡巴斯基等），如果有则关闭，并禁用任务管理器。同时，它会监视用户的QQ聊天信息和打开系统后门，便于黑客进行恶意行为。

　　一、“机器狗变种53248”（Win32.Troj.Agent.dd.53248） 威胁级别：★★

　　病毒进入系统后，在系统盘中释放出两个病毒文件，分别为%WINDOWS%system32目录下的winsrv32.dll，以及%WINDOWS%system32\drivers目录下的ati32srv.sys。其中的ati32srv.sys特别值得注意，因为病毒会将它的相关数据写入注册表，恢复系统的SSDT表，这样就可能导致杀毒软件的“主动防御”和“自我保护”功能失效。

　　接着，病毒以极快的速度继续修改系统注册表，对大量的杀毒软件和安全辅助软件实施印象劫持，造成它们失效。对于那些不需经过注册表就能使用的绿色安全产品，病毒也采取监视系统进程的方式来阻止其运行。由于病毒的“黑名单”极为庞大，几乎目前所有的杀毒软件及安全辅助软件都会“牺牲”。

　　完成以上步骤后，病毒悄悄连接http://xxx.w**ala.info/c**hi/、ttp://xxx.f**liu001.info/c**hi/、ttp://a.x**yige.com/等多个由木马种植者指定的网址，获取最新的病毒下载列表，然后根据列表上的地址去下载大量其它木马至用户计算机运行，引发更多无法估计的系统安全问题。

　　二、“秘密记录员”（Win32.Troj.Agent.um.401408） 威胁级别：★★

　　病毒会在系统盘中释放出五个病毒文件，分别为%WINDOWS%目录下的mwinsys.ini、%WINDOWS%system目录下的AlxRes070826.exe、%WINDOWS%system32inf目录下的scrsys070826.scr和scrsys16_070826.dll，以及%WINDOWS%system32目录下的winsys16_070826.dll和winsys32_070826.dll。另外，如果用户系统中有D盘，病毒会在D盘根目录下生成一个名为myplayer.com的病毒文件。

　　文件释放完毕后，病毒将自己的相关数据写入系统注册表启动项，让自己能随系统桌面进程Explorer.exe一起启动。如果能成功启动，病毒就会查找并关闭金山毒霸、卡巴斯基、360安全卫士等安全软件，并禁止任务管理器启动。

　　随后，病毒在系统中查找IE浏览器的进程iexplore.exe、腾讯TT浏览器的进程TTraveler.exe，以及遨游浏览器的进程maxthon.exe进程，如果有则创建远程线程注入其中。同时，它监视用户的QQ聊天信息，将其记录后保存记录到本地。最后，该病毒会打开系统后门，等待木马种植者（黑客）的远程连接。

　　如果黑客成功入侵用户系统，除能查看到用户QQ聊天记录外，还可以进行任何其想要的操作，这可能给用户带来无法估计的威胁和麻烦。

　　金山反病毒工程师建议

　　1.最好安装专业的杀毒软件进行全面监控，防范日益增多的病毒。用户在安装反病毒软件之后，应将一些主要监控经常打开（如邮件监控、内存监控等）、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。

　　2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，及时升级杀毒软件，开启防火墙以及实时监控等功能，切断病毒传播的途径，不给病毒以可乘之机。

　　金山毒霸反病毒应急中心及时进行了病毒库更新，升级毒霸到2008年3月3的病毒库即可查杀以上病毒；如未安装金山毒霸，可以登录http://www.duba.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816，反病毒专家将为您提供帮助。