04.05病毒预警：“隐形鸽子”致杀软失效、远程控制用户

　　“剑侠盗号木马110080”（Win32.PSWTroj.Nilage.110080），该程序是一个网游盗号木马，主要通过网页木马、文件捆绑等方式传播。它遍历进程查找网络游戏《剑侠情缘2》的进程，通过读写内存的方式获取帐号和密码，然后发送给病毒作者。

　　“隐形鸽子192512”（Win32.Troj.Leapar.sb.192512），此病毒是一个用vc++高级语言编写的黑客木马程序。病毒释放自身驱动文件及dll格式文件，突破杀软的防御措施，然后隐藏在用户机器中，实现远程监视。

　　一、“剑侠盗号木马110080”（Win32.PSWTroj.Nilage.110080） 威胁级别：★

　　这是一个通过强行掉线的方式来盗取网游《剑侠情缘2》玩家帐号的木马。所谓“强行掉线”，指的是它会搜索并强行关闭用户电脑中正在运行的游戏进程，迫使玩家重新登录游戏。在这个过程中，病毒就可以趁机记录下用户的密码。

　　该病毒进入用户电脑后，在系统盘的%WINDOWS%Debug目录下释放出病毒文件B831406A9770.dll和B831406A9770.exe，其中B831406A9770.exe是病毒主文件，病毒会修改注册表自启动项，将该文件数据写入其中，使得自己能随系统一起启动。而B831406A9770.dll负责在病毒重启后注入系统桌面进程explorer.exe，搜索《剑侠情缘2》的进程，完成盗号工作。

　　关于此病毒的另一个变种“剑侠盗号木马102400”（Win32.PSWTroj.OnLineGames.102400），我们曾在4月3号发出过预警，但由于最近该病毒家族的变种突增许多，因此再次提醒大家注意。

　　关于该病毒的详细分析报告，可在金山病毒大百科中查阅：http://vi.duba.net/virus/win32-pswtroj-nilage-110080-50511.html

　　二、“隐形鸽子192512”（Win32.Troj.Leapar.sb.192512） 威胁级别：★★

　　昨日，远程控制木马再次进入毒霸反病毒工程师们的视野之中。在被磁碟机等下载器盖过风头好一阵子后，远程控制木马又蠢蠢欲动起来。

　　经毒霸反病毒工程师的分析，最新捕获的这个病毒是一个类似“灰鸽子”的远程控制木马，它进入系统，开始运行后，首先在系统临时目录下释放出一个名为XXXX.dat的配置文件，其中XXXX为随机产生的四位数。

　　接着，病毒搜索系统中是否有杀毒软件卡巴斯基和瑞星的进程，如发现，则释放出自己的驱动文件，造成杀软瘫痪。同时，病毒在注册表中注册为windows服务，实现开机自启动。这里值得一提是，病毒会将自己的窗口名注册为“Microsoft Internet Explorer”，类名注册为“IEFrame”，试图混淆用户的判断。

　　最后，病毒释放出dll文件，将其注入到svchost.exe中，利用它的空间运行自己，实现隐蔽运行。一旦病毒运行完毕，此后门程序可以远程监视用户的屏幕和键盘等，具有较大的危害性。而且由于它采取无进程无模块的作案方式，会给普通用户的手工清除带来很大的困难。

　　关于该病毒的详细分析报告，可在金山病毒大百科中查阅：http://vi.duba.net/virus/win32-troj-leapar-sb-192512-50512.html

　　金山反病毒工程师建议

　　1.最好安装专业的杀毒软件进行全面监控，防范日益增多的病毒。用户在安装反病毒软件之后，应将一些主要监控经常打开（如邮件监控、内存监控等）、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。

　　2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，及时升级杀毒软件，开启防火墙以及实时监控等功能，切断病毒传播的途径，不给病毒以可乘之机。

　　金山毒霸反病毒应急中心及时进行了病毒库更新，升级毒霸到2008年4月5的病毒库即可查杀以上病毒；如未安装金山毒霸，可以登录http://www.duba.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816，反病毒专家将为您提供帮助。