木马下载器盗号数十种 破天木马剑指网游

“木马下载器20480”（Win32.TrojDownloader.wmTable.a.20480），这是一个下载者病毒。此病毒文件为muma.exe的可执行文件，但并不局限于该名称，病毒传播者也可能给它取别的名字。它会从指定的网址下载一份下载列表，下载并执行列表中的数十种盗号木马程序。
 
    “破天木马1851”（Win32.PSWTroj.OnlineGames.nc.18515），该病毒是网络游戏《破天一剑》的盗号木马。病毒运行后会衍生病毒文件至系统目录下，然后注入游戏进程，偷去游戏账号和密码等信息，并通过网页提交的方式发送到木马种植者手上。
 
    “木马下载器20480”（Win32.TrojDownloader.wmTable.a.20480）  威胁级别：★

    此病毒进入系统后，并无释放文件的行为，它会立即运行自身病毒文件muma.exe，从http://m.*******.cn/wm/这一由木马种植者指定的网址下载一份名为wm.txt的文本文件。在这个文本文件中，包含了26个盗号木马程序的最新下载地址。

    当读取了下载列表，病毒就会悄悄建立远程连接，在用户无法知晓的情况下，下载列表中的木马程序，将它们存放于系统盘的%WINDOWS%/avp/目录下，并立刻把它们激活运行。由于木马种类众多，破坏行为也多样，这就会给用户的系统安全和虚拟财产带来无法估计的威胁。

    此外需要提及的是，此病毒名称并不固定，木马种植者可以给它起名muma.exe，也可以起其它名字。并且，它多为随其它病毒进入到用户系统的“帮凶”，如果用户在自己的电脑中发现它，意味着你的电脑中很可能已经潜入了其它病毒。

    “破天木马1851”（Win32.PSWTroj.OnlineGames.nc.18515）  威胁级别：★

    病毒进入用户系统后，会在系统盘中释放出两个病毒文件，分别为系统根目录%WINDOWS%下的SSLDyn.exE和%WINDOWS%/system32/目录下的SSLDyn.dll。然后，修改注册表启动项，将自己的相关数据写入其中，达到随系统自动启动之目的。完成这个步骤后，病毒就将自己的原始文件删除，这样，用户就不容易发现自己电脑里出现多余的东西。

    如果病毒顺利地运行起来，它就会把之前生成的DLL文件注入到系统的桌面进程Explorer.exe，以及其它非系统进程当中，不停的搜索网络游戏《破天一剑》的进程。

    发现目标后，病毒立即注入其中，监视玩家与游戏服务器之间的通讯信息，从中过滤用户的账号和密码，得手后以网页提交的方式发送到木马种植者指定的网址http://www.j*****.cn/shijian/tempes/post.asp当中，给用户造成虚拟财产的损失。