魔戒木马魔法盗号 仇恨脚本毁灭硬盘

    金山公司表示近期有两款病毒非常流行，尤其是针对用户数据的仇恨脚本，可以删除大部分数据，请广大网民提高警惕。

    “魔戒木马16384”（Win32.PSWTroj.OnlineGames.al.16384），该病毒是网络游戏《魔戒》的盗号木马。病毒运行后会衍生病毒文件至系统目录下，并修改注册表启动项，使自己能随机启动。它会把截获到的账号信息通过网页提交的方式发送到木马种植者手上。
 
    “仇恨脚本”（VBS.Rol.a.11804），这是一个脚本病毒，它可通过邮件传播。该病毒运行后会感染htm、htm、asp文件、删除磁盘中几乎全部的文件，并强行关闭系统。在关闭系统前，它还会弹出一个含有种族敌视内容的对话框。
 
    一、“魔戒木马16384”（Win32.PSWTroj.OnlineGames.al.16384）  威胁级别：★

    病毒进入电脑系统后，在系统盘的%windows%\system32\目录下释放出病毒文件ALMJ.exe、ALMJDLL.DLL和MJHOOK.DLL。这三个文件各有分工，其中ALMJ.exe是病毒的启动程序，而两个DLL文件是用来执行盗号工作的。

    随后，病毒将自己启动程序的相关信息加入注册表启动项，这样，以后每次用户启动电脑系统时，它就能跟着自动运行起来。
 
    病毒运行后，将之前生成的两个DLL文件分别注入系统桌面进程Explorer.exe和其它非系统进程，搜索是否有启动的网络游戏《魔戒》。一旦发现，就立即建立监视，窥探用户与游戏服务器之间的通信，从中窃取用户帐号和密码等信息。如果得手，病毒就会在用户无法知晓的情况下建立远程连接，通过网页提交的方式，把脏物发送到木马作者指定的地址http://www.r*****oyuan.cn/d***50w/50W/ie/post.asp，给用户造成虚拟财产的损失。

    二、“仇恨脚本”（VBS.Rol.a.11804）  威胁级别：★★

    病毒进入电脑系统后，会立即对系统盘进行搜索，寻找Zone Labs、AntiViral Toolkit Pro、Command Software、PC-Cillin、Quick Heal(快速愈合)、麦咖啡、诺顿等国外主流安全软件，发现之后将它们迅速删除。这样一来，它便能在系统中肆意地进行破坏。

    接着，病毒搜索系统中所有的htm、html、asp格式文件，将自己的病毒信息插入其中欧，同时它还修改注册表中的IE首页相关信息，将IE浏览器的默认首页设定为http://www.o**t.edu/g***ps/**a/ev***nder.swf。这样一来，用户使用网络服务时，就会被引导到病毒作者指定的网站。

    此病毒对系统的最大的危害，在于它会删除%windows%\System32\目录下的全部文件，并对所有磁盘分区中的多种非系统文件进行“移形换影”。当它检测到扩展名为lnk、zip、jpg、peg、mpg、mpeg、doc、xls、mdb、txt、ppt、pp、ram、rm、mp3、mdb、swf等的文件后，就会用“原文件名+.vbs”的病毒文件替换掉原文件。

    当目标