作者：kaduo

【赛迪网-IT技术报道】江民今日提醒您注意：在今天的病毒中TrojanDownloader.Losabel.as“露萨”变种as和Trojan/Vaklik.la“伪颗粒”变种la值得关注。

病毒名称：TrojanDownloader.Losabel.as

中 文 名：“露萨”变种as

病毒长度：34773字节

病毒类型：木马下载器

危险级别：★★

影响平台：Win 9X/ME/NT/2000/XP/2003

TrojanDownloader.Losabel.as“露萨”变种as是“露萨”木马家族的最新成员之一，采用Delphi语言编写，并经过加壳处理。“露萨”变种as运行后，自我复制到被感染计算机系统的“%SystemRoot%/system32/”目录下，重命名为“VistaAA.exe”。将其添加为启动项，实现木马开机自动运行。在被感染计算机系统的后台连接骇客指定站点，获取恶意程序的下载地址列表，并下载所有的恶意程序。所下载的恶意程序可能是窃取网络游戏账户的木马、广告程序、后门等，给用户带来不同程度的损失。强行篡改注册表，实现进程映像劫持，导致用户运行某些安全程序时实际上运行的是“露萨”变种as，甚至系统自带的任务管理器也无法正常运行。在被感染计算机系统的后台秘密监视正在运行的进程名和已打开的窗口标题，一旦发现某些安全软件程序正在运行，马上将其强行关闭。破坏注册表项，致使无法显示隐藏文件。遍历用户计算机的C到Z驱动器，创建病毒副本，利用U盘、移动硬盘等移动设备进行传播。“露萨”变种as执行安装程序完毕后会自我删除。另外，“露萨”变种as还可以自升级。

病毒名称：Trojan/Vaklik.la

中 文 名：“伪颗粒”变种la

病毒长度：114556字节

病毒类型：木马

危险级别：★★

影响平台：Win 9X/ME/NT/2000/XP/2003

Trojan/Vaklik.la“伪颗粒”变种la是“伪颗粒”木马家族的最新成员之一，采用高级语言编写，并经过添加保护壳处理。“伪颗粒”变种la运行后，自我复制到被感染计算机系统的“%SystemRoot%/system32/”目录下并重新命名为“mmvo.exe”。修改注册表，实现木马开机自动运行。在“%SystemRoot%/system32/”目录下释放一个恶意DLL组件文件“mmvo0.DLL”，并将其插入到“explorer.exe”进程中加载运行，隐藏自我，防止被查杀。在所有盘符根目录下创建“autorun.inf”文件和病毒文件“qvimi.exe”，实现双击盘符启动“伪颗粒”变种la运行。在后台秘密监视用户打开的窗口标题，盗取网络游戏玩家的游戏账号、游戏密码、仓库密码、角色等级、金钱数量、所在区服、计算机名称等信息，并在后台将玩家信息发送到骇客指定的远程服务器上，致使玩家的游戏账号、装备物品、金钱等丢失，给游戏玩家带来非常大的损失。

针对以上病毒，建议广大电脑用户：

1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。

2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。

3、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。

4、江民杀毒软件的虚拟机脱壳技术，针对目前主流壳病毒进行虚拟脱壳处理，有效清除“壳病毒”。

(责任编辑：董建伟)

　　作者：kaduo

【赛迪网-IT技术报道】“传奇Ⅲ盗号者65536”（Win32.PSWTroj.OnLineGames.as.65536），该病毒是网络游戏《传奇3》的盗号木马。病毒运行后会修改注册表生成启动项，把盗取的账号信息通过网页提交的方式发送到木马种植者手上。

“Word涂改液693269”（Win32.Troj.Sola.693269），这是一个恶作剧木马程序。它能够利用AUTO技术进行传播，运行起来就会搜索电脑中全部的Word文档，将它们的后缀改为exe。不过，被改了后缀的Word文件并不会遭到破坏，依然可以打开。

一、“传奇Ⅲ盗号者65536”（Win32.PSWTroj.OnLineGames.as.65536） 威胁级别：★

近来网络游戏《传奇3》的盗号木马有增多的倾向，该游戏玩家需注意帐号安全。本篇预警播报中的病毒就是个《传奇3》盗号木马的变种。

病毒进入系统后会释放出三个文件，分别为%Windows%/system32/目录下的kcoin32.exe和kcoin32.dll，以及%WINDOWS%/LastGood/system32/drivers/目录下的cdaudio.sys。其中kcoin32.exe是病毒主文件，它会被写入注册表启动项，使病毒实现开机自启动。

当病毒运行起来。它会把dll文件注入到系统当中进程中，不断搜索是否有网络游戏《传奇3》，如有则注入其中，通过内存读取的方式获得玩家的帐号和密码，然后通过网页提交的方式发送到病毒作者指定的网络地址http://www.*******.cn/cqzhudao/post.asp，给用户带来虚拟财产的损失。

二、“WORD涂改液693269”（Win32.Troj.Sola.693269） 威胁级别：★

这个病毒对系统没有明显的破坏，它的行为偏向于恶作剧。如果中了该毒，并且用户系统中有WORD文档，那么这些文档就会被更改后缀名称。

此毒进入电脑后，会释放出大量的病毒文件，大部分集中在%WINDOWS%/Fonts/HIDESELF../目录中。其中对病毒运行起到主要作用的是%WINDOWS%/Fonts/HIDESELF../目录下的Function.dll，以及%WINDOWS%/Fonts/HIDESELF../solasetup/目录下的SOLA.BAT。

病毒修改系统注册中的多项数据，使自己实现开机自启动。一旦顺利运行起来，就会搜索电脑中全部的WORD文档，把它们的后缀改为了exe。另外，为实现快速传播，该毒会在所有的磁盘分区下生成文件Autorun.inf和文件夹SOLA，而SOLA文件夹下有一个Function.dll文件和一个SOLA.bat批处理文件。顺便一提，这些文件的属性都是系统隐藏文件。

就毒霸反病毒工程师目前的观察而言，这个病毒除了将WORD文档改后缀外，没有别的恶意行为，并且这些被修改了的WORD文档依然能够打开。

金山反病毒工程师建议

1.最好安装专业的杀毒软件进行全面监控，防范日益增多的病毒。用户在安装反病毒软件之后，应将一些主要监控经常打开（如邮件监控、内存监控等）、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。

2.由于玩网络游戏、利用QQ等即时聊天工具交流的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，如不要登录不良网站、不要进行非法下载等，切断病毒传播的途径，不给病毒以可乘之机。

(责任编辑：董建伟)