作者：kings

【赛迪网-IT技术报道】Win32.PSWTroj.OnLineGames.xn.108627是一个盗号木马程序。它利用键盘记录的方法，记录下用户输入的全部信息，进行加密后发送给病毒作者。

病毒名称(中文)：键盘记录员108627

威胁级别：★★☆☆☆

病毒类型：偷密码的木马

病毒长度：108627

影响系统：Win9x WinMe WinNT Win2000 WinXP Win2003

病毒行为：

这个病毒是一个盗号木马程序。它利用键盘记录的方法，记录下用户输入的全部信息，进行加密后发送给病毒作者。病毒作者通过一定技术手段，就可以从这些信息中筛选出用户的各类账号和密码。

1.程序运行后，生成文件

%system32%/mmvo.exe%system32%/mmvo0.dll

%Temp%/snj4.dll 这个文件名是随机的

2.在注册表中添加了注册项，如下：

[HKEY_LOCAL_MacHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]"mmva"="%system32%/mmvo.exe"

3.木马会自动删除原文件本身；

4.木马可以修改SSDT(系统服务调度表)，从而躲过各种杀毒软件查杀的目的；木马将mmvo0.dll注入到explorer进程中，把病毒文件属性设置为系统隐藏加只读，并且监视注册表的修改，把CheckedValue改成0，让用户无法显示隐藏文件，监视用户的鼠标，键盘操作，从而获得用户的游戏账号和密码信息，成功获取信息之后，病毒便将信息加密后以邮件的形式通过SMTP和网页收信空间发送给木马作者。

(责任编辑：李磊)

　　作者：king

【赛迪网-IT技术报道】Win32.Troj.DownLoaderT.dl.69632是一个木马下载器程序。它进入用户系统后会注入到桌面进程explorer.exe 和 登录管理器进程winlogon.exe中，执行秘密下载。

病毒名称(中文)：武装下载器69632

威胁级别：★★☆☆☆

病毒类型：木马下载器

病毒长度：69632

影响系统：Win9x WinMe WinNT Win2000 WinXP Win2003

病毒行为：

这是一个木马下载器程序。它进入用户系统后会注入到桌面进程explorer.exe和登录管理器进程winlogon.exe中，执行秘密下载。同时，该木马会试图关闭系统自带的错误报告系统和部分杀毒软件，防止用户对它进行查杀。

1.关闭系统错误报告服务(ERSvc)：

修改HKEY_LOCAL_MacHINE/SOFTWARE/Microsoft/PCHealth/ErrorReporting的DoReport、ShowUI、ReportBootOk，键为0。

2.修改注册表项，隐藏文件

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/Hidden/SHOWALL

键值："CheckedValue"=dWord:00000000。　　　　

3.修改日期：

修改系统日期为2005年。

4.创建c:/autorun.inf 文件。

[AutoRun]open=auto.exeshellexecute=auto.exeshell/Auto/command=auto.exe

5.修改注册表、新建服务，并以服务的方式达到随机启动的目的：

HKEY_CURRENT_USER/SYSTEM/CurrentControlSet/Services/dd33gsd2键值 : 字串 : "ImagePath"="C:/WINDOWS/system32/dd33gsd2.exe -k"服务名称： dd33gsd2显示名称： dd33gsd2描述： dd33gsd2可执行文件的路径： C:/WINDOWS/system32/dd33gsd2.exe启动方式：自动

6.查找对话框窗口，判断窗口类是否为"Button"，窗口名为"是(&Y)"，如果是则向该窗口发送左键按下消息，以关闭该窗口。

7.查找是否存在KAVStart进程，如果存在则向其"操作"菜单发送"退出"命令。

8.从http://al**a.ve**nx.cn/update.txt下载木马地址列表。该列表包含了木马程序的下载地址信息。

(责任编辑：李磊)