正在阅读：金山毒霸2009年3月安全报告金山毒霸2009年3月安全报告

　　6、win32.troj.onlinegames.de.36864    （cfg寻仙盗号器变种）

　　展开描述：对抗杀软，《寻仙》问“盗”

　　卡巴命名：rojan-GameThief.Win32.Magania.awzg

　　瑞星命名：Trojan.PSW.Win32.GameOL.wez\n

　　N0D32命名：Trojan.Win32.PSW.OnLineGames.NRD

　　BitDefender命名：Generic.Onlinegames.14.E204280A

　　135万台次的感染量，使得win32.troj.onlinegames.de.36864 （cfg寻仙盗号器变种）成为本排行榜的第6名。此病毒具有简单的对抗能力，它会尝试利用强制关闭进程的办法，中止一些常见杀软的进程，如果这些杀软的自保护比较弱，那么就会被它“干掉”。随后此病毒就搜寻并注入《寻仙》的进程，截取帐号信息。

　　从对该病毒的跟踪上，我们发现虽然感染量很大，但成功机率却不高，因为绝大部分时候，它刚进入电脑，就被金山毒霸查杀了。如果用户发现自己电脑中有此病毒并且又总是杀不干净，其实是因为电脑中有未知下载器在作怪。这时候仅需下载金山安全实验室的“系统急救箱”，就可将这个未知下载器消灭。

　　7、win32.troj.dropper.jg.210338    （盗号木马下载器JG）

　　展开描述：保护病毒木马，躲避杀软查杀

　　卡巴命名：Trojan-Dropper.Win32.Agent.aipa

　　瑞星命名：Dropper.Win32.Agent.zvf\n

　　N0D32命名：Trojan.Win32.TrojanDropper.Agent.NNO

　　麦咖啡命名：Generic Dropper.cy trojan

　　BitDefender命名：Rootkit.Agent.AIWN

　　“盗号木马下载器JG”（win32.troj.dropper.jg.210338）在3月前半月的感染量非常之高，一度逼近单日10万台次。但从18号开始，迅速降低截止31日，每日仅有1千余台次的感染量。不过，它全月的总成绩还是很“不错”，为130万台次。

　　此病毒不具备对抗能力，为防止被杀软拦截，它的一些变种会被与具有对抗功能的木马模块相捆绑，进入系统后这些对抗模块先运行起来，尝试解决杀软。接着就开始疯狂下载各种盗号木马，在电脑中洗劫网游帐号。

　　只要打齐系统安全补丁，“盗号木马下载器JG”就无法进入电脑，因为它是借助脚本木马下载器才能进入电脑，而脚本木马又必须是利用系统安全漏洞才能成功实施攻击。

　　8、win32.binder.agent.ar.110592    （地下城盗贼）

　　展开描述：添加注册表自启动 盗窃成功后自我删除

　　卡巴命名：Trojan-Dropper.Win32.Agent.ajat

　　瑞星命名：Binder.Win32.Agent.ar\n

　　N0D32命名：Trojan.Win32.TrojanDropper.Agent.NWE

　　脚本木马的影响是如此之大，借助脚本下载器的帮助，win32.binder.agent.ar.110592 （地下城盗贼）这个完全没有任何对抗能力的盗号木马，在3月份竟然获得了131万台次的总感染量。

　　当进入系统，该病毒就会搜索并注入网游《地下城与勇士》的进程，悄悄记录用户输入的帐号和密码。病毒作者为保证能收到偷来的游戏帐号，设置了4个接收网址，每次盗得帐号后，会往这四个地址都发送一份邮件。

　　9、win32.troj.sysjunk2.ak.32768    （木马驱动器32768）

　　展开描述：对抗杀软，下载网游盗号木马

　　就和普通制造业的模块化一样，病毒制作也在走向模块化。病毒作者不必亲自写完所有代码，而只需要挑选自己喜欢的模块相组合，就能得到想要的病毒。“木马驱动器32768”（win32.troj.sysjunk2.ak.32768）就是一个这样的模块。

　　此模块为一个驱动文件，加密加花比较强。金山毒霸反病毒工程师对其进行破解分析后，发现该驱动主要用于恢复系统SSDT表，以及获取系统权限，还可以破坏一些常见安全软件的驱动。 这些行为直接决定了木马是否可以成功入侵，难怪病毒作者如此费心的对其进行加密，并且还放上许多花指令试图干扰反病毒工作者的分析。

　　根据金山毒霸云安全系统的统计，此模块整个3月份的感染量为121万台次，远远高出2月份时的38万台次的电脑。

　　10、win32.troj.qqpswt.bs.116858    （QQ小偷）

　　展开描述：盗窃QQ帐号，洗劫用户Q币

　　卡巴命名：Trojan-PSW.Win32.QQPass.fqt

　　瑞星命名：rojan.PSW.Win32.QQPass.dzm\n

　　N0D32命名：Trojan.Win32.PSW.Delf.NLZ

　　BitDefender命名：Generic.PWStealer.B2169547

　　病毒团伙对QQ小偷的推广力度，从2月份一直持续至今。该病毒可依靠AUTO及时来进行自动传播。每进入一台电脑，病毒就在各磁盘分区中生成自己的AUTO文件，一旦用户在中毒电脑上使用U盘等移动存储设备，这些AUTO文件就会立刻将其感染。这样一来，QQ小偷就能随着U盘到处传播了。

　　3月份，QQ小偷借助脚本下载器传播的力度不减。金山毒霸反病毒工程师在不少木马下载器中发现了该病毒的下载地址，保守感染量达到近120万台次。

　　受该病毒威胁最大的主要是网吧等公共电脑，因为这些电脑的U盘使用率较高，U盘来源也复杂，并且每次电脑重启后都会删除之前下载的文件，以保护系统的清洁。但实际上，这样也会将补丁也一同删除，使得电脑极易遭受那些包含有该病毒下载链接的挂马的攻击。