盜號病毒直接破壞瑞星殺毒軟體核心文件

「武林盜賊37008」（Win32.Troj.OnlineGamesT.nr.37008），這是一個盜號木馬。木馬通過創建系統服務實現開機啟動，結束360安全衛士相關進程和「killer_Gdwli32.exe」專殺工具進程，然後盜取網絡遊戲《武林外傳》的賬號信息，並發送給木馬種植者。

「大話西遊II盜號者45260」（Win32.Troj.QQPass.df.45260），這是一個用vc編寫的木馬程序。病毒運行後會查找並破壞系統中金山毒霸、江民、瑞星等殺毒軟體的正常運行。然後通過監視窗口字符串的方式盜竊「網易通行證」和《大話西遊 II》的密碼，並使用SMTP協議發送至木馬種植者安排好的郵箱。

一、「武林盜賊37008」（Win32.Troj.OnlineGamesT.nr.37008） 威脅級別：★

病毒順利進到用戶的電腦系統中後，會釋放出三個病毒文件，分別為%windows%/system32/目錄下的niluw.cfg和niluw.dll，以及%windows%/system32/drivers/目錄下的msacpe.sys，並修改系統註冊表中的相關資料，實現自己的開機自啟動。

當成功運行起來，病毒就搶先查找安全輔助軟體360安全衛士和「killer_Gdwli32.exe專殺器」的進程，並將其強行關閉，以便於自己隨後開展的盜號行為。

接著，病毒查找網絡遊戲《武林外傳》的遊戲進程，強行關閉它，迫使用戶重新登陸。這樣一來，病毒就可以將之前生成的niluw.dll文件注入其中，通過鍵盤記錄的方式獲得用戶的賬號密碼等信息。

如得手，病毒就在用戶無法察覺的情況下連接木馬作者指定的遠程伺服器，將偷得的信息發送出去，給用戶造成虛擬財產的損失。

二、「大話西遊II盜號者45260」（Win32.Troj.QQPass.df.45260） 威脅級別：★★

病毒進入用戶系統後，釋放出三個病毒文件，分別為%WINDOWS%/system32/目錄下的rasatkyeyt.dll和rasatkyeyt.exe，以及%WINDOWS%/Temp/目錄下的temp~3。其中，ravysigilyn.exe是病毒的主程序，病毒會將該文件的資料寫入系統註冊表啟動項，使自己能隨系統啟動而運行起來。

為避免被殺毒軟體查殺，該病毒運行後會迅速查找並關閉金山毒霸、江民、瑞星等主流殺毒軟體的進程。其中，對於瑞星的破壞是採取直接刪除其核心文件的方式。

接下來，病毒查找當前打開的工作窗口，判斷窗口字符串是否包含「大話西遊II」、「WSWINDOW」或「網易通行證」等字樣。如果存在，則通過鍵盤記錄的方式，盜取用戶的網易通行證、「大話西遊 II」倉庫密碼等敏感信息。

得手後，病毒利用電腦系統中的SMTP郵件協議無需驗證的特點，悄悄地建立遠程連接，將贓物發送至c**anh**[email protected]這個由木馬種植者指定的郵箱，給用戶造成虛擬財產的損失。

金山反病毒工程師建議

1.最好安裝專業的殺毒軟體進行全面監控，防範日益增多的病毒。用戶在安裝反病毒軟體之後，應將一些主要監控經常打開（如郵件監控、記憶體監控等）、經常進行升級、遇到問題要上報，這樣才能真正保障計算機的安全。

2.由於玩網絡遊戲、利用QQ聊天的用戶數量逐漸增加，所以各類盜號木馬必將隨之增多，建議用戶一定要養成良好的網絡使用習慣，及時升級殺毒軟體，開啟防火牆以及實時監控等功能，切斷病毒傳播的途徑，不給病毒以可乘之機。

(