最新安全威胁：IE遭嘲讽传奇被盗号

来源：qqread 作者：佚名出处：巧巧读书 2007-12-22 进入讨论组

访问 http://www.qqread.com/news/h388117.html

年底，病毒木马赶上最后一波进攻狂潮，各自使出浑身解数，针对破坏系统和网游盗号的病毒越来越多，今天金山毒霸方面表示，两种病毒正在悄然兴起。

“IE嘲讽者”（VBS.JokBing.a.3920），这是一个恶意脚本病毒，运行后会修改IE浏览器首页，并导致IE的部分功能不能正常使用。它还会修改注册表关键数据，使用户无法打开注册表编辑器，并禁止用户使用一些桌面功能。

“传奇盗号木马90112””（Win32.PSWTroj.OnlineGames.90112），这是个针对网络游戏《热血传奇》的盗号木马。该病毒运行后，复制自身到系统文件夹，然后注入到Windows登陆管理器的进程winlogon.exe中，通过对网络数据的过滤来拦截《热血传奇》网游的数据，从中盗取帐号信息。

“IE嘲讽者”（VBS.JokBing.a.3920）威胁级别：★

病毒进入用户的电脑系统后，会在系统盘中释放出病毒文件Win32system.vbs，此文件一式三份，分别藏在%WINDOWS%目录、%WINDOWS%\system32\目录，以及%WINDOWS%\Start Menu\Programs\启动\目录下。然后病毒会修改注册表，把自己的相关信息加入启动项，这样以后它都可以随着系统启动而自动运行起来。

病毒运行起来后，会修改IE浏览器的的默认首页为域名是www.q**63.com的网站，以后用户每次启动IE时，都会被自动引导到该网站，为它“贡献”流量。而为了防止用户把首页改回原来的设置，病毒还会禁用IE上的“设置工具的->internet选项”。遇到这种情况，一些对注册表比较熟悉的用户可能会希望通过修改注册表的方法复原IE吧，但面对这个病毒，这招就不灵了，因为它早已将破坏了注册表编辑器的相关数据，使用户无法使用注册表编辑器。

此外，病毒还在电脑桌面上禁止用户使用右键、开始菜单运行项、图标显示等功能，给用户的操作造成极大不便。

在完成破坏后，病毒作者还不忘嘲讽一下用户。在系统重启时，病毒会弹出一个用四川方言写的提示对话框，以颇为诙谐的语气嘲笑受害用户运气不好，令人哭笑不得。

“传奇盗号木马90112”（Win32.PSWTroj.OnlineGames.90112）威胁级别：★

病毒顺利潜入电脑系统后，在系统盘的%WINDOWS%根目录下释放出addrcqhelp.cfg、addrcqhelp.dll、qdshm.dll等3个病毒文件。随后，病毒修改注册表，将自己添加到系统不可缺少的套接字提供者接口（SPI）中，这样以后它都可以随着系统的启动而自动运行起来。

当成功地随系统运行起来后，病毒就查找Windows登陆管理器的进程winlogon.exe，并注入其中。然后，它不断搜索系统中是否有网络游戏《热血传奇》的进程文件“mir1.dat”，一旦发现，便会建立消息监控，监视用户与游戏服务器之间的网络通信数据，当从中嗅探到用户的帐号密码等信息时，就会将其截获。

如果顺利得手，病毒就会读取之前生成的配置文件addrcqhelp.cfg，从中获得木马种植者的联系地址http://2*8.7*.1*3.2*4，然后悄悄建立远程连接，把赃物发送到该地址，给用户造成虚拟财产的损失。