毒霸1月16日预警：伪装下载者下载大量病毒

lukeji3

毒霸1月16日预警：伪装下载者下载大量病毒
　　“伪装下载者65536”（Win32.Riskware.wmicsmgr.b.65536），这是一个木马下载者程序。该病毒运行后，注册为浏览器帮助插件。它会在后台利用IE浏览器的进程空间来运行病毒代码，然后连接远程病毒站点，下载其它病毒程序到用户电脑中运行。
　　“QQ幻想盗号者16244”（Win32.PSWTroj.OnlineGames.16244），该病毒是针对网络游戏《QQ幻想》的一个盗号木马。它运行后会衍生病毒文件至系统目录下，然后注入游戏进程，伺机窃取玩家的帐号密码等信息。
　　一、“伪装下载者65536”（Win32.Riskware.wmicsmgr.b.65536） 威胁级别：★★
　　病毒进入系统后，在系统盘的%WINDOWS%\\system32\\目录下释放出病毒文件wmicsmgr.dll。需要注意的是，此病毒文件的文件名与WINDOWS系统自带的一个DLL文件名很相似，但正常的文件名为wmiscmgr.dll，而不是wmicsmgr.dll。
　　随后，病毒修改注册表，把自己的相关数据写入启动项中。它添加的启动项名称是wmicsmgr，注册为“浏览器帮助插件”，试图以此欺骗用户。当资源管理器或IE浏览器启动时，病毒就会随之加载运行起来。
　　当病毒被加载后，它就会在后台利用IE浏览器的进程空间来运行自己。这样做的好处是用户不容易发现系统中出现多余的进程。如果成功运行起来，病毒就会连接到木马种植者指定的地址http://www.o*3*6.com/，获取最新的病毒下载地址，然后根据这些地址去下载更多的病毒程序到用户电脑中运行，给用户造成无法估计的更大损失。
　　二、“QQ幻想盗号者16244”（Win32.PSWTroj.OnlineGames.16244） 威胁级别：★
　　病毒进入用户系统后，在系统盘中释放出两个病毒文件，分别为%WINDOWS%目录下的MsPrint32D.exe和%WINDOWS%\\system32\\目录下的MsPrint32D.dll。然后，修改注册表启动项，使自己以后都可以随着系统启动而自动运行。
　　完成以上步骤，病毒便执行一个自删除命令，把自己的原始文件删除，使用户不容易发现电脑里出现了多余的文件。
　　病毒顺利运行起来后，会把之前生成的MsPrint32D.dll文件注入到系统桌面进程Explorer.exe中，通过读取内存的方式盗取用户的账号和密码等信息。一旦得手，就立即在用户无法知晓的情况下建立远程连接，把偷得的信息以网页提交的形式发送到木马种植者指定的网址“http://www.****.com//xiaoxiao/wu/req.asp”，给用户造成虚拟财产的损失。