金山毒霸28日預警：小心「完美盜號者」等病毒

　　金山毒霸提醒您今日注意防範以下病毒：

　　「木馬攻擊模塊4608」(Win32.Troj.AgentT.ff.4608)，這是某木馬的組成模塊，用於對抗具有主動防禦功能的殺毒軟體和一些安全工具。它能通過還原SSDT表的方式，使得一些殺軟的主動防禦功能失效，並解除部分安全工具對系統的保護，為整個木馬的下一步作案掃清障礙。

　　「完美盜號者57344」(Win32.Troj.OnlineGameT.pq.57344)，這是個針對《完美世界》的盜號木馬。它能夠破壞部分安全軟體的正常運行，然後盜取遊戲帳號和密碼，併發送到病毒作者指定的遠程地址。

　　一、「木馬攻擊模塊4608」(Win32.Troj.AgentT.ff.4608) 威脅級別：★★

　　日漸流行的對抗型下載器，如機器狗、磁碟機等，都具有一個專門用於對抗安全軟體的模塊。本篇預警播報中的病毒，正是一個這種功能的木馬模塊。

　　這個模塊是一個驅動文件。當它隨著整個木馬進入用戶電腦後，就會被釋放出來。它把自己的一個函數註冊為系統運行時需要調用的函數，還原系統SSDT表，如果這個動作成功，就可以解除一些具有所謂主動防禦功能的殺毒軟體的武裝。

　　接著，它繼續修改系統中的數據，將磁碟驅動、桌面驅動等驅動文件，以及系統調度服務的部分函數破壞，令用戶無法正常操作系統。

　　如果在用戶電腦中發現加密狗等加密軟體，此木馬模塊也會修改它們的部分數據，將它們的函數指向自己，從而使加密軟體失效。

　　當病毒作者將這一木馬模塊配置到任何一個別的木馬上時，那些木馬也就具備了對抗安全軟體的能力。毒霸反病毒工程師認為，這種情況代表著病毒製造者的分工繼續細化了。

　　關於該病毒的詳細分析報告，可在金山病毒大百科中查閱 http://vi.duba.net/virus/win32-troj-agentt-ff-4608-50731.html

　　二、「完美盜號者57344」(Win32.Troj.OnlineGameT.pq.57344) 威脅級別：★

　　病毒進入電腦後，在系統盤的%WINDOWS%\system32\目錄下釋放出病毒文件MMSADZFB1064.exe、MMSADZFB1064.dll，其中前者是病毒主文件，會被寫入註冊表啟動項，令病毒實現開機自啟動，而後者用於注入進程盜取帳號。

　　該病毒具有一定程度的對抗能力，可以破壞一些安全軟體的正常運行。它在系統盤%WINDOWS%\system32\drivers\文件夾中生成驅動文件Hdv32.sys和Hdv32_.sys，利用它們替換SSDT表的系統服務函數地址，讓具有主動防禦功能的殺毒軟體失效。

　　隨後，病毒直接枚舉進程，強行關閉360安全衛士、瑞星等安全軟體的進程。同時它會把《完美世界》的進程也關閉。

　　當用戶重新登錄遊戲時，病毒就利用之前釋放出的dll文件記錄下用戶輸入的帳號和密碼，併發送至指定的接收網址。

　　關於該病毒的詳細分析報告，可在金山病毒大百科中查閱 http://vi.duba.net/virus/win32-t ... pq-57344-50732.html

　　金山反病毒工程師建議

　　1.最好安裝專業的殺毒軟體進行全面監控，防範日益增多的病毒。用戶在安裝反病毒軟體之後，應將一些主要監控經常打開(如郵件監控、內存監控等)、經常進行升級、遇到問題要上報，這樣才能真正保障計算機的安全。

　　2.由於玩網路遊戲、利用QQ等即時聊天工具交流的用戶數量逐漸增加，所以各類盜號木馬必將隨之增多，建議用戶一定要養成良好的網路使用習慣，如不要登錄不良網站、不要進行非法下載等，切斷病毒傳播的途徑，不給病毒以可乘之機。