「MSN偽裝下載器」破壞系統警報 下載病毒

【賽迪網-IT技術報道】「封神榜Ⅱ盜號器24576」（Win32.Troj.OnlineGameT.nx.24576），這是一個針對網絡遊戲《封神榜Ⅱ》的盜號木馬程序。病毒作者為躲避查殺，對病毒進行了加殼和加密，並給病毒設置了自我刪除的功能。

「MSN偽裝下載器18776」（Win32.Troj.AgentT.ac.18776），該病毒是一個木馬下載器。它的原始文件會偽裝成MSN的文件名稱。運行後下載大量木馬病毒至用戶機器上安裝。病毒運行完畢後，還會刪除自己的原始文件。

一、「封神榜Ⅱ盜號器24576」（Win32.Troj.OnlineGameT.nx.24576） 威脅級別：★

任何一個網絡遊戲，只要玩家數量足夠多，就能引起盜號木馬製作這的注意。近來，《封神榜Ⅱ》就又被木馬作者盯上。

這個盜號木馬具有自動刪除的功能，它進入系統後，會將自己病毒將自身fssetlek.exe複製到%WINDOWS%/system32/目錄下，然後就刪除原始文件，減少被用戶發現的機率。

Fssetlek.exe運行起來後，會釋放出病毒文件fssetle.dll，此文件用於執行盜號行為。病毒利用它，查找《封神榜Ⅱ》的窗口「FSOnline2」來，在查找到之後，就結束它。這樣一來，玩家只得重新登陸遊戲。

這時病毒就可趁機盜取賬號和密碼，並將獲取的消息發送到wjka**3.til***ai.com/totals/push.asp這個由病毒作者指定的地址。

二、「MSN偽裝下載器18776」（Win32.Troj.AgentT.ac.18776） 威脅級別：★

這個下載器的作案原理很簡單，它採用偽裝成MSN的辦法，試圖騙過殺毒軟體，但明顯失敗。

進入用戶電腦後，此毒將自己的主文件MSN.exe複製到%WINDOWS%/system32/目錄下，然後修改系統中關於發出報警音的驅動文件，也就是%WINDOWS%/system32/dllcache/目錄與%WINDOWS%/system32/drivers/目錄下的beep.sys。完成這個修改，系統在出現異常時，也不會發出警報音。

接下來，病毒就連接指定的網址http://down.*****.com/unin，獲取一份下載列表，根據其中的地址，下載更多木馬文件到本機安裝運行。

在運行完畢後，此毒就刪除自己的原始文件，避免用戶發現系統中出現多餘的東西。

金山反病毒工程師建議

1.最好安裝專業的殺毒軟體進行全面監控，防範日益增多的病毒。用戶在安裝反病毒軟體之後，應將一些主要監控經常打開（如郵件監控、記憶體監控等）、經常進行升級、遇到問題要上報，這樣才能真正保障計算機的安全。

2.由於玩網絡遊戲、利用QQ等即時聊天工具交流的用戶數量逐漸增加，所以各類盜號木馬必將隨之增多，建議用戶一定要養成良好的網絡使用習慣，如不要登錄不良網站、不要進行非法下載等，切斷病毒傳播的途徑，不給病毒以可乘之機。

(