替身信使偷换系统文件 下载恶意木马

“替身信使368640”（Win32.TrojDownloader.dt.368640）  威胁级别：★★

在WINDOWS中，有一项名MESSENGER服务的系统服务进程，它是系统用于传输客户端和服务器端之间消息的服务，进程文件为msgsvc.Dll。

该服务并不常用，系统对它的默认状态为禁用。当此病毒运行后，会释放同样名为msgsvc.dll的病毒文件到%WINDOWS%\system32\目录中，替换掉系统文件。

当替换完成，MESSENGER服务服务的状态会变为自动，从而实现病毒的开机启动。如果成功运行起来，该毒便连接病毒作者指定的远程网址www.C**ent-g*t-d**a.com，调用系统的下载服务来下载更多其它木马，并在下载完成后立即执行这些木马文件。

关于该病毒的详细分析报告，可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-trojdownloader-dt-368640-51949.html

“网游盗号木马15981”（Win32.Hack.UpackT.a.15981）  威胁级别：★

该毒拥有较多的变种，它的目标是《大话西游3》和《QQ华夏》的帐号密码。

它将自己的子文件释放在%WINDOWS%\system32\中，文件名不固定，另外在%WINDOWS%\system32\drivers\目录下还会释放出一个msacpe.sys文件。

当修改注册表实现自启动后，该毒就将自己的DLL文件注入系统桌面进程，搜索是否有作案目标的进程存在，如有，则注入其中，读取游戏内存数据，盗取帐号密码。

最后，它将赃物发送到病毒作者指定的邮箱，给玩家造成虚拟财产的损失。

关于该病毒的详细分析报告，可在金山病毒大百科中查阅

金山反病毒工程师建议

1.最好安装专业的杀毒软件进行全面监控，防范日益增多的病毒。用户在安装反病毒软件之后，应将一些主要监控经常打开（如邮件监控、内存监控等）、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。

2.由于玩网络游戏、利用QQ等即时聊天工具交流的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，如不要登录不良网站、不要进行非法下载等，切断病毒传播的途径，不给病毒以可乘之机。

金山毒霸反病毒应急中心及时进行了病毒库更新，升级毒霸到2008年10月10日的病毒库即可查杀以上病毒；如未安装金山毒霸，可以登录http://www.duba.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816，反病毒专家将为您提供帮助。