【51CTO.com 独家报道】51CTO安全频道今日提醒您注意：在今天的病毒中“网游窃贼”变种nln、“Hosts劫持者”变种rj、“代理”变种jm、“征途”变种kt、“武林盗贼37008”、“大话西游II盗号者45260”、“Anilogo”、“下载者变种”和“Win32.Nuvens.QS”都值得关注。

一、今日高危病毒简介及中毒现象描述：

◆“网游窃贼”变种nln是“网游窃贼”木马家族的最新成员之一，采用VC++ 6.0编写。“网游窃贼”变种nln运行后，自我插入到被感染计算机系统的所有用户级权限的进程中加载运行，隐藏自我，防止被查杀。修改注册表，实现木马开机自动运行。在后台秘密监视用户打开的窗口标题，专门盗取网络游戏《QQ华夏Online》玩家的游戏帐号、游戏密码、仓库密码、角色等级等信息，并在后台将玩家信息发送到骇客指定的远程服务器上，致使《QQ华夏Online》玩家的游戏帐号、装备物品、金钱等丢失，给游戏玩家带来不同程度的损失。

◆“Hosts劫持者”变种rj是“Hosts劫持者”木马家族的最新成员之一，采用VC++ 6.0编写，并经过加壳保护处理。“Hosts劫持者”变种rj运行后，自我复制到被感染计算机系统的指定目录下，并重新命名保存。修改注册表，实现木马开机自动运行。在被感染计算机系统的后台强行篡改系统hosts文件，通过域名映像劫持的方式阻止用户对某些常见安全网站的访问；或者把域名地址指向骇客指定的远程服务器IP地址上，从而提高指定站点的访问量，严重干扰用户的正常上网和操作。

◆“代理”变种jm是“代理”脚本病毒家族的最新成员之一，利用操作系统和某个应用程序中的漏洞传播其它恶意程序，采用javascript脚本语言编写，并且经过加密处理。“代理”变种jm一般内嵌在正常网页中，如果用户计算机没有及时升级修补操作系统相应的漏洞补丁和某些应用程序中相应的漏洞补丁，那么当用户使用浏览器访问带有“代理”变种jm的恶意网页时，就会在当前用户计算机的后台连接骇客指定站点，下载大量恶意程序并在被感染计算机上自动调用运行。所下载的恶意程序可能包含是网游木马、恶意广告程序、后门等，给用户带来不同程度的损失。

◆“征途”变种kt是“征途”木马家族的最新成员之一，采用Visual C++ 6.0编写，并经过加壳保护处理。“征途”变种kt运行后，自我插入到被感染计算机系统的“explorer.exe”进程中加载运行，隐藏自我，防止被查杀。修改注册表，实现木马开机自动运行。在被感染计算机系统的后台盗取《浩方对战平台》、《功夫世界》、《剑侠情缘2》、《机战ZeroOnline》、《魔兽世界》、《奇迹世界》、《投名状》、《完美世界》、《诛仙》等多款网络游戏玩家的游戏帐号、游戏密码、金钱数量、仓库密码、所在区服、角色等级等信息，并在后台将玩家信息发送到骇客指定的远程服务器上，致使多款网络游戏玩家的游戏帐号、装备物品、金钱等丢失，给游戏玩家带来非常大的损失。

◆“武林盗贼37008”病毒顺利进到用户的电脑系统中后，会释放出三个病毒文件，分别为%windows%\system32\目录下的niluw.cfg和niluw.dll，以及%windows%\system32\drivers\目录下的msacpe.sys，并修改系统注册表中的相关数据，实现自己的开机自启动。当成功运行起来，病毒就抢先查找安全辅助软件360安全卫士和“killer_Gdwli32.exe专杀器”的进程，并将其强行关闭，以便于自己随后开展的盗号行为。接着，病毒查找网络游戏《武林外传》的游戏进程，强行关闭它，迫使用户重新登陆。这样一来，病毒就可以将之前生成的niluw.dll文件注入其中，通过键盘记录的方式获得用户的帐号密码等信息。如得手，病毒就在用户无法察觉的情况下连接木马作者指定的远程服务器，将偷得的信息发送出去，给用户造成虚拟财产的损失。

◆“大话西游II盗号者45260”病毒进入用户系统后，释放出三个病毒文件，分别为%WINDOWS%\system32\目录下的rasatkyeyt.dll和rasatkyeyt.exe，以及%WINDOWS%\Temp\目录下的temp~3。其中，ravysigilyn.exe是病毒的主程序，病毒会将该文件的数据写入系统注册表启动项，使自己能随系统启动而运行起来。为避免被杀毒软件查杀，该病毒运行后会迅速查找并关闭金山毒霸、江民、瑞星等主流杀毒软件的进程。其中，对于瑞星的破坏是采取直接删除其核心文件的方式。接下来，病毒查找当前打开的工作窗口，判断窗口字符串是否包含“大话西游II”、“WSWINDOW”或“网易通行证”等字样。如果存在，则通过键盘记录的方式，盗取用户的网易通行证、“大话西游 II”仓库密码等敏感信息。得手后，病毒利用电脑系统中的SMTP邮件协议无需验证的特点，悄悄地建立远程连接，将赃物发送至c**anh**sq@163.com这个由木马种植者指定的邮箱，给用户造成虚拟财产的损失。

◆“Anilogo” 该病毒属于蠕虫类，主要依靠U盘传播，运行后有如下行为：释放副本到windows文件夹的fonts目录下，在磁盘的每个根目录下衍生副本和autorun.inf用于双击磁盘时启动该病毒；添加注册表实现开机自启动，添加注册表对安全软件映像劫持；遍历磁盘感染除系统以外的exe文件；连接网络下载病毒到临时文件夹下；该病毒功能很多，清除起来并不容易，属于危害等级较高的病毒。我们已发布相应的专杀。

◆“下载者变种”该病毒体为下载类型病毒，运行后会在后台连接一个地址列表，大量下载病毒体到本机运行。下载的病毒为各种盗号程序，病毒添加注册表大量引导项，以保证病毒跟随系统引导病毒体。还会添加大量映象劫持项，以使很多安全软件不能正常执行。如用户出现密码被盗或者一些安天软件不好使的情况，请即时查杀病毒体。

◆Win32.Nuvens.QS是一族特洛伊病毒，伪装假的软件下载并运行其它的恶意程序变体。

运行时，特洛伊通常在%Temp%目录下生成并运行一个文件。特洛伊还会在%Program Files%目录中安装一个伪造的软件程序，随后运行它。

病毒危害：

特洛伊下载并运行以下病毒变体：

Win32/Beovens

Win32/Boarim

Win32/Moiling

Win32/Puper

Win32/Spax

二、针对以上病毒，51CTO安全频道建议广大用户：

1、最好安装专业的杀毒软件进行全面监控并及时升级病毒代码库。建议用户将一些主要监控经常打开，如邮件监控、内存监控等，目的是防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。

2、请勿随意打开邮件中的附件，尤其是来历不明的邮件。企业级用户可在通用的邮件服务器平台开启监控系统，在邮件网关处拦截病毒，确保邮件客户端的安全。

3、企业级用户应及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒。另外为保证企业信息安全，应关闭共享目录并为管理员帐户设置强口令，不要将管理员口令设置为空或过于简单的密码。

截至记者发稿时止，江民、金山、安天、冠群金辰的病毒库均已更新，并能查杀上述病毒。感谢江民科技、金山毒霸、冠群金辰和安天为51CTO安全频道提供病毒信息。

• 更多病毒日报

• 更多病毒周报