"伏特加感染下載器"修改系統時間殺軟失效

【賽迪網-IT技術報道】「QQ幻想盜號木馬65697」（Win32.Troj.OnlineGameT.bd.65697），這是一個針對網絡遊戲《QQ幻想》的盜號木馬程序。它利用感染可執行文件來進行傳播，通過讀取記憶體的方式盜竊遊戲帳號，然後發給木馬作者。它還會搜索並關閉殺毒軟體卡巴斯基和瑞星。

「伏特加感染下載器81920」（Win32.TrojDownloader.Delf.81920），該病毒是一個下載器程序。它會修改系統時間，導致卡巴斯基等依賴系統時間進行激活和升級的殺毒軟體失效。然後利用IE瀏覽器的進程執行病毒下載。該毒利用感染可執行文件的方法進行傳播，當用戶啟動被感染文件時，病毒就會發作，搜尋全部硬碟分區中的可執行文件進行感染。

一、「QQ幻想盜號木馬65697」（Win32.Troj.OnlineGameT.bd.65697） 威脅級別：★★

這是個具備一定對抗殺軟能力的網游盜號木馬。它在進入系統後，會立即搶先搜索卡巴斯基的警告窗口和瑞星的註冊表監控提示窗口，防止卡巴和瑞星向用戶報告系統異常。此後，它每隔1毫秒的時間，就重複一次搜索，確保卡巴和瑞星永遠都無法向用戶發出警告。

與此同時，該毒會在系統中釋放出兩個病毒文件，分別為%WINDOWS%目錄下的病毒主文件mfchlp.exe，以及%WINDOWS%/system32/目錄下負責盜號的mfchlp.dll。前者會被寫入系統註冊表，以實現開機自啟動，而後者則負責注入系統桌面進程explorer.exe，查找網絡遊戲《QQ幻想》的進程。

Mfchlp.dll會試圖通過全局監視程序，注入到所有進程中，通過讀取它們的相關函數來找到《QQ幻想》的進程文件qqffo.exe，讀寫其記憶體，獲取網絡遊戲賬號和密碼以及其它私人信息，然後通過網絡收信空間發給木馬作者，給用戶造成虛擬財產的損失。

關於該病毒的詳細分析報告，可在金山病毒大百科中查閱 http://vi.duba.net/virus/win32-troj-onlinegamet-bd-65697-50557.html

二、「伏特加感染下載器81920」（Win32.TrojDownloader.Delf.81920） 威脅級別：★★

這個盜號木馬同樣具備一定的對抗殺軟能力。它進入系統後會先檢測用戶電腦裡是否有殺毒軟體「卡巴斯基」，如果有，便通過修改系統時間為1984年的辦法，讓依賴系統時間進行激活和升級的卡巴失效。在這個過程中，如果用戶電腦中有其它軟體也是要依賴系統時間的，那它們也同樣會受到影響。

接著，病毒在系統盤根目錄下釋放出病毒文件avp.exe，在%Program Files%目錄下釋放出下載列表ver.txt，然後開始運行，根據列表中的地址去下載更多其它的病毒文件，以及獲取最新的下載列表。此處需注意，這個由病毒釋放出的avp.exe文件，與卡巴斯基的執行文件名稱一樣，具有一定的偽裝性，但因為是出現在系統盤根目錄下，就可以以此來識別它。

除了在本機上進行下載，該病毒還會感染中毒電腦上的全部EXE可執行文件，如果用戶將它們拷貝到別的電腦上，病毒就可以實現擴散。當用戶啟動這些被感染的文件時，病毒就會啟動，從病毒作者指定的遠程伺服器http://fff.t***kl.info/下載最新版本的自己和下載列表，然後循環以上的過程。

根據毒霸反病毒工程師的分析，該毒下載的其它病毒中，絕大部分是針對網絡遊戲以及用戶隱私資料的盜號木馬，如果該毒能在用戶電腦裡順利運行，那麼將引發無法估計的更大損失。

金山反病毒工程師建議

1.最好安裝專業的殺毒軟體進行全面監控，防範日益增多的病毒。用戶在安裝反病毒軟體之後，應將一些主要監控經常打開（如郵件監控、記憶體監控等）、經常進行升級、遇到問題要上報，這樣才能真正保障計算機的安全。

2.由於玩網絡遊戲、利用QQ聊天的用戶數量逐漸增加，所以各類盜號木馬必將隨之增多，建議用戶一定要養成良好的網絡使用習慣，及時升級殺毒軟體，開啟防火牆以及實時監控等功能，切斷病毒傳播的途徑，不給病毒以可乘之機。

(