04.08病毒预警：“风花雪月”制造后门、传播情书

　　“时光机盗号器69632”（Win32.PSWTroj.Nilage.69632），这是一个盗号木马程序。该程序会修改系统时间来关闭依赖系统时间进行激活和升级的杀毒软件，然后展开全局监视，记录下用户输入的各类敏感信息。

　　“风花雪月”（Win32.WinFlower.ha.95232），该病毒为一个远程木马程序。它利用被感染的EXE文件来进行传播，然后在中毒电脑上建立后门，等待黑客进入。病毒作者还在感染的文件中附带了一封名为“风花雪月”的情书表达自己对某个女孩的爱慕。

　　一、“时光机盗号器69632”（Win32.PSWTroj.Nilage.69632） 威胁级别：★

　　这是一个会利用修改系统时间的方法来对抗杀毒软件的盗号木马。它进入电脑后会在系统盘的%WINDOWS%system32目录下释放出病毒文件monb32drv.dll，并将其数据写入注册表启动项，实现开机自启动。这里要注意一点，病毒会对monb32drv.dll采取部分重命名的处理，它会将该文件名的第一个和第四个字母随机变化，防止杀毒软件升级后根据它的关键字来进行查杀。

　　当病毒启动后，它就修改系统时间为过去的时间，令那些需要依赖系统时间来进行激活和升级的杀毒软件瘫痪。同时，病毒调用monb32drv.dll中的函数，查找并删%WINDOWS%system32driversetc目录下的Hosts文件，解除系统的上网安全监视，让它能够利用IE登录任何它想去的网站。

　　最后，病毒会展开全局监视程序，监视用户上网时输入的所有消息，并将它们发送到病毒作者指定的远程地址。接下来，病毒作者只需进行一些简单的分析，就可以获得用户的私人敏感信息，比如各类帐号。

　　关于该病毒的详细分析报告，可在金山病毒大百科中查阅：http://vi.duba.net/virus/win32-pswtroj-nilage-69632-50517.html

　　二、“风花雪月”（Win32.WinFlower.ha.95232） 威胁级别：★★

　　爱情总是在风花雪月的烂漫中随风轻扬，无论最终结果如何，总能留下一下值得回忆的东西。作家用文字记录爱情，乐师以旋律表现爱情，至于不善表达的程序员，他们展示自己心境的方法当然也就是通过代码了。

　　毒霸反病毒工程师们近日处理的病毒中，就有这么一个见证着爱情的病毒。它是一个黑客后门程序，通过感染EXE格式文件的方式来进行传播。说它与爱情有关，是因为病毒作者会利用这个病毒来传播一个名为WindFlowerSnowMoon.love（中文意思就是“风花雪月”）的文件，用记事本打开后，可以看到这是一封英文情书，病毒作者在信中表达了自己对东北财经大学经济学专业某女生的仰慕，称自己“I fell in love with her at first sight，and I love her very much…..”。

　　整封信看上去很浪漫，但经毒霸反病毒工程师的分析，该病毒除了传播这封情书外，还会在用户电脑中制造一个后门，它随机生成监听端口，等待黑客服务器端的连接。如果黑客进入了用户电脑，就能进行各种他想要的操作，给用户带来无法估计的损失。

　　该病毒的主文件隐藏在系统盘windows目录下，名称是Rundll32.exe。另外，它还将自身拷贝到系统盘%Program Files%文件夹的一些常用软件目录中，例如%Program Files%Internet Explorer、%Program Files%Windows Media Player等目录，在这些目录中，病毒名称为WindFlowerSnowMoon.exe。

　　虽然尚未收到因该病毒而造成损失的报告，可既然它建立后门，对用户的系统安全构成了威胁，那无论如何，毒霸都必须将它查杀。同时，毒霸反病毒工程师告诫病毒作者，尽管程序员多半不善于表达自己的内心，但向女孩子传递爱意的方法还是有许多的，鼓起勇气当面表达的效果也许更好，完全没必要使用这种损害他人系统安全的方法，否则终将触犯法律，害人害己。想一想，有多少女生会喜欢罪犯？

　　关于该病毒的详细分析报告，可在金山病毒大百科中查阅：http://vi.duba.net/virus/win32-winflower-ha-95232-50518.html

　　金山反病毒工程师建议

　　1.最好安装专业的杀毒软件进行全面监控，防范日益增多的病毒。用户在安装反病毒软件之后，应将一些主要监控经常打开（如邮件监控、内存监控等）、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。

　　2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，及时升级杀毒软件，开启防火墙以及实时监控等功能，切断病毒传播的途径，不给病毒以可乘之机。

　　金山毒霸反病毒应急中心及时进行了病毒库更新，升级毒霸到2008年4月7的病毒库即可查杀以上病毒；如未安装金山毒霸，可以登录http://www.duba.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816，反病毒专家将为您提供帮助。