“AUTO病毒ke”查找卡巴斯基驱动文件

网游盗号者a"(Win32.Troj.LyLoader.a.14848)这是一个盗号木马程序。病毒运行后会释放病毒文件至系统文件夹和临时文件夹，并生成大量启动项，以开机自启动。

病毒注入进程，通过读写内存的方式盗取网络游戏梦幻西游用户信息，如服务器、账号、密码、pin码、角色、装备等，发送至远程服务器，请广大用户注意保护好自己的游戏账号。

"AUTO病毒ke"(Worm.AutoRun.ke.37376)这是一个典型的Autorun型的病毒，只要客户通过双击电脑上的各个盘都会运行此病毒。病毒会通过查找杀软文件修改系统时间和创建线程查找窗口来发送确定消息逃过杀软，病毒会从指定的网址下载大量的病毒，盗取客户计算机上的资料。

一、"网游盗号者a"(Win32.Troj.LyLoader.a.14848) 威胁级别：★

1.生成文件

%temp%\LYLOADER.EXE

%temp%\LYMANGR.DLL

%temp%\MSDEG32.DLL

%sys32dir%\LYLOADER.EXE

%sys32dir%\LYMANGR.DLL

%sys32dir%\MSDEG32.DLL

使用批处理删除自身

2.启动项会被病毒修改，从而导致用户每次启动机器的时候，会自动运行病毒指定文件。

3.注入进程，通过读写内存的方式盗取网络游戏梦幻西游用户信息，发送至远程服务器

hxxp://www.zi***nqq.cn/xiaozhu/mh19/post2007asp.asp

hxxp://z***anqq.cn/xiaozhu/mh19/post2007asp.asp

hxxp://***1la.com/mh2007/post2007kj.asp

hxxp://www.51***a.com/mh2007/post2007kj.asp

hxxp://www.ra***wd.com/cs03/post.asp?server=%s&gameid=%s&pass=%s&pin=%s&wupin=%s&role=%s&equ=

二、"AUTO病毒ke"(Worm.AutoRun.ke.37376) 威胁级别：★

1.通过查找卡巴驱动文件的方法判断客户计算机是否安装卡巴杀软，如果安装了则生成一个一批处理并运行，把系统时间改为"1981-01-12"。

创建线程查找以下窗口类和标题：

#32770 - IE 执行保护

#32770 - IE执行保护

#32770 - 瑞星卡卡上网安全助手 - IE防漏墙

如查找到以上窗口则模拟发送"确定"消息。(允许病毒运行)

2.生成的文件：

%SystemRoot%\System32\Sert.exe

每个盘根目录下\sert.exe

每个盘根目录下\AutoRun.inf

3.从指定的网址上下载大量的木马程序、感染型病毒到客户计算器上运行。

hxxp://**b.fre***bhtm.com/soft/*.exe

金山反病毒工程师建议

1.最好安装专业的杀毒软件进行全面监控。建议用户安装反病毒软件防止日益增多的病毒，用户在安装反病毒软件之后，应该经常进行升级、将一些主要监控经常打开（如邮件监控）、内存监控等，遇到问题要上报， 这样才能真正保障计算机的安全。

2.玩网络游戏、利用QQ聊天的用户会有所增多，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，及时升级杀毒软件，开启防火墙以及实时监控等功能，切断病毒传播的途径，不给病毒以可乘之机。