梦幻西游木马盗号 随机木马封锁杀软

作者：中关村在线 张齐

    "梦幻之盗15360"(Win32.Troj.MBER.a.15360)这是一个木马程序。该病毒运行后，会从自身释放出病毒文件，并注入到services.exe或explorer.exe系统进程，以此来隐蔽自身，并从网络上下载盗号程序，来协助完成梦幻西游ONLINE的盗号工作。

    "随机木马77856"(Win32.Troj.Unknown.b.77856)这是一个木马程序。病毒会在系统的两个文件夹下生成病毒文件并创建注册表服务项以达到病毒能开机自启动。
病毒通过修改注册表的方式禁用系统自动更新,并会修改系统时间，监控杀软"卡巴斯基"的窗口。病毒会从网络下载大量的木马程序保存在客户计算机上并运行。
 
    一、"梦幻之盗15360"(Win32.Troj.MBER.a.15360)  

    威胁级别：★
   
     1.病毒运行后，产生以下病毒文件
 %windows%\system32\LYLOADER.EXE
 %windows%\system32\MSDEG32.DLL
 %windows%\system32\LYMANGR.DLL
 %windows%\system32\Verify.exe

    2.该病毒运行成功后，会自删除病毒源文件。

    3.当病毒监测到有services.exe或explorer.exe进程时，便会创建远程线程(加载LYMANGR.DLL和MSDEG32.DLL)。

    4.病毒添加了启动项(启动项是指随着系统启动而运行的程序)
 启动项名:LYLoader.exe    对应路径:%windows%\system32\LYLOADER.EXE

    5.病毒还会根据IP从网络上下载病毒。

    6.MSDEG32.DLL文件被注入到explorer.exe或services.exe进程后会搜索进程，查找是否有“

梦幻西游”的进程，有则通过Verify.exe病毒文件进行盗取操作。

    7.具体发送的的帐号信息包含如下：
 帐号，密码，区名，现金数，存银

    8.所得到的梦幻西游帐号信息会被发送到以下网址
 http://5****a.com/mh2007/post2007kj.asp
 http://www.r****wd.com/cs03/post.asp

    二、 "随机木马77856"(Win32.Troj.Unknown.b.77856) 

    威胁级别：★
   
    1.病毒运行后，会生成以下病毒文件
 %windir%\system32\A457B050.EXE (随机病毒名)
 %windir%\system32\9C019E18.DLL (随机病毒名)

    2.病毒运行成功后，会通过批处理文件自删除病毒源文件。

    3.病毒通过修改

注册表的方法禁用系统自动更新功能。

    4.当病毒监测到进程有avp.exe时，会修改系统时间为2005年。

    5.病毒如发现窗口标题为"卡巴斯基反病毒软件 6.0:通知"则发送消息关闭

    6.病毒会读取指定的网址上的 txt 文件以获取木马下载地址,并下载木马程序保存至客户计算机上运行。

    7.病毒搜寻窗口，如发现是QQ聊天窗口则发送一段指定的文字发送到聊天对象的QQ里。

    金山反病毒工程师建议
 
    1.最好安装专业的杀毒软件进行全面监控。建议用户安装反病毒软件防止日益增多的病毒，用户在安装反病毒软件之后，应该经常进行升级、将一些主要监控经常打开（如邮件监控）、内存监控等，遇到问题要上报， 这样才能真正保障计算机的安全。
    2.玩

网络游戏、利用QQ聊天的用户会有所增多，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，及时升级杀毒软件，开启防火墙以及实时监控等功能，切断病毒传播的途径，不给病毒以可乘之机。