01.26病毒预警：Antinny蠕虫变种伪装成色情影片传播

lukeji3

01.26病毒预警：Antinny蠕虫变种伪装成色情影片传播
“Antinny蠕虫变种401408”（Win32.Troj.Antinny.c.401408），这是一个通过Winny软件传播（这是日本比较流行的p2p软件）的病毒。它运行后会根据系统中的文件及其自带词典，在Winny的共享目录随机生成一个颇具诱惑的名字的下载档，以吸引别的Winny用户下载传播，这个文件通常是以.lzh或.zip的压缩档，所以只要不随便打开此类文件即可减少中毒可能。
　　“大话西游3盗号者22016”（win32.PSWTroj.OnlineGames.22016），这是个针对网络游戏《大话西游3》的盗号木马。该木马运行后，会创建独立线程监视瑞星杀毒软件的警告框并将其屏蔽，然后在系统中查找网游《大话西游3》的进程。如果找到则注入其中，盗取玩家的帐户信息。

　　一、“Antinny蠕虫变种401408”（Win32.Troj.Antinny.c.401408） 威胁级别：★

　　病毒进入电脑系统后，会搜索系统盘的%Program Files%文件夹，在其中释放出一个病毒文件，并且随机挑选系统中已安装的一个程序，将病毒文件设为以该程序命名的JPG格式的图片文件，以迷惑用户。随后它就修改系统注册表，把自己的数据写入启动项，达到开机自动运行之目的。

　　接着，病毒在系统中搜索日本流行的P2P软件“Winny”、以及Winny的上一个版本“WinMX”的进程，如果发现，就会从其共享目录中随机选一个文件，抽取该文件的名字、或采用病毒自己携带词典中的名字，制作一个.zip或.lzh格式的含毒下载档，然后存放到共享目录中，以吸引别人下载，达到传播病毒的目的。

　　在完成以上工作的同时，病毒会尝试查找和删除Winny的Cache文件夹，这个行为意味着用户辛辛苦苦下载回来的东西都会被删除掉。此外，如果该病毒生成的含毒下载档的名称是采用其自带的词典，便会全部使用色情影片名称，颇具日本特色。

　　二、“大话西游3盗号者22016”（win32.PSWTroj.OnlineGames.22016） 威胁级别：★★

　　病毒进入电脑系统后，在系统盘的%WINDOWS%\\system32\\目录下释放出病毒文件dh3oor0.dll，并修改注册表中的相关数据，把自己设为启动项，达到开机自动运行之目的。

　　当用户重启电脑后，病毒就随着系统桌面进程Explorer.exe一同启动，并注入到Explorer.exe之中。如果成功注入，它首先要做的是创建一个独立线程，监视并屏蔽“瑞星”杀毒软件的警告框，这样就可防止用户知道电脑已经中毒。

　　完成以上步骤后，病毒就开始在系统中查找网游《大话西游3》的进程文件“xymain.bin”，如果找到就注入其中，盗取玩家的账号密码等信息，并悄悄建立远程连接，把这些信息以表单提交的方式发送到木马种植者指定的地址http://www.l*z*.net/dh3___/lin.asp%s?id=上，给用户造成虚拟财产的损失。

　　金山反病毒工程师建议

　　1.最好安装专业的杀毒软件进行全面监控，防范日益增多的病毒。用户在安装反病毒软件之后，应将一些主要监控经常打开（如邮件监控、内存监控等）、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。

　　2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，及时升级杀毒软件，开启防火墙以及实时监控等功能，切断病毒传播的途径，不给病毒以可乘之机。

　　金山毒霸反病毒应急中心及时进行了病毒库更新，升级毒霸到2008年1月26的病毒库即可查杀以上病毒；如未安装金山毒霸，可以登录http://www.duba.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816，反病毒专家将为您提供帮助。