每日病毒预警：感染型下载器与奇迹混乱盗号者

　　“感染型下载器597”( Win32.Downloader.e.597)病毒是一个木马下载器。它利用感染正常文件进行传播，当用户运行被感染文件时，病毒就开始运行，从网上下载木马到用户电脑中运行。

　　“奇迹混乱盗号者”(Win32.Troj.OnlineGameT.am.107664)是一个针对网络游戏《奇迹世界》的盗号木马。它会释放出dll文件及病毒驱动文件，执行盗号。并且，该病毒含有大量垃圾指令，试图干扰资深用户和反病毒厂商对它进行分析。

　　一、“感染型下载器597”( Win32.Downloader.e.597) 威胁级别：★

　　擅长手动查杀病毒的用户，如果注意检查被感染文件，会发现它新增一个.WIN的节表，并且文件体积有所增大。

　　病毒感染了文件后，将正常的文件入口改到新增加的节表中，这样，当用户运行文件，便会先激活病毒代码，然后再跳回到正常文件的入口地址。其结果就是在用户的不知不觉中，病毒已在系统中跑了起来。

　　如果开始运行，病毒会连接病毒作者指定的地址http://ttt.wo**on.cn/main.exe，远程下载一个病毒文件，并将其藏在系统盘的%Program Files%\Common Files\目录下，命名为WIN.exe并执行。经毒霸反病毒工程师分析，该文件为一个敏感信息后门程序。

　　关于该病毒的详细分析报告，可在金山病毒大百科中查阅

　　二、“奇迹混乱盗号者107664”(Win32.Troj.OnlineGameT.am.107664) 威胁级别：★★

　　这个盗号木马的作案目标是《奇迹世界》，它利用强迫用户重新登录的方法来盗取帐号和密码。在进入电脑后，它就释放出病毒文件hjiq.dll，替换掉%WINDOWS%\system32\目录下的同名系统文件。并释放出两个自己的病毒驱动文件，分别为%WINDOWS%\system32\目录下的msepion.sys及%WINDOWS%\system32\drivers\目录下的msyecp.sys。

　　当完成以上的病毒释放，病毒就可以顺利绕开一些安全软件的防护，遍历系统当前活动进程，找到《奇迹世界》的进程sungame.exe，将其强制结束，迫使用户重新登录。同时将DLL文件注入进程，趁机记录下用户输入的帐号和密码，实现盗号。

　　运行完毕后，病毒还会执行自我删除程序，删掉自己的原始文件，让用户难以发现系统中出现了多余的东西。此外，毒霸反病毒工程师在对该毒进行分析时，发现其中含有大量垃圾指令，看来，病毒作者是希望以此干扰别人对该毒的查杀。