江民今日提醒您注意：在今天的病毒中Trojan/PSW.OnLineGames.attr“網游竊賊”變種attr和TrojanSpy.Zbot.fnj“砸波”變種fnj值得關注。

　　英文名稱：Trojan/PSW.OnLineGames.attr

　　中文名稱：“網游竊賊”變種attr

　　病毒長度：18944字節

　　病毒類型：盜號木馬

　　危險級別：★

　　影響平臺：Win 9X/ME/NT/2000/XP/2003

　　MD5 校驗：d85ab1f41f5544553638920b0a18f689

　　特征描述：

　　Trojan/PSW.OnLineGames.attr“網游竊賊”變種attr是“網游竊賊”木馬家族中的最新成員之一，采用“Microsoft Visual C++ 6.0”編寫，并且經過加殼保護處理。“網游竊賊”變種attr運行后，會在被感染計算機系統的“%SystemRoot%\fonts\”目錄下釋放隨機8位字符文件名的惡意DLL組件“*.nls”。在被感染計算機的后臺遍歷當前系統中所有正在運行的進程，一旦發現指定的安全軟件存在，便會嘗試將其結束，從而達到了自我保護的目的。“網游竊賊”變種attr是一個專門盜取“地下城與勇士”網絡游戲會員賬號的木馬程序，運行后會首先確認自身是否已經被插入到游戲進程“DNF.exe”和“QQLOGIN.EXE”中。一旦插入成功，便會利用消息鉤子、內存截取或封包截取等技術盜取網絡游戲玩家的游戲賬號、游戲密碼、所在區服、角色等級、金錢數量、倉庫密碼等信息，并在后臺將竊取到的這些機密信息發送到駭客指定的URL“http://ation.zha*cai.cn/post.asp”、“http://feixiang.zha*cai.cn/107/post.asp”、“http://ation.zha*cai.cn/getmb.asp”上（地址加密存放），致使網絡游戲玩家的游戲賬號、裝備、物品、金錢等丟失，給游戲玩家造成了不同程度的損失。另外，“網游竊賊”變種attr會通過在注冊表鍵“ShellExecuteHooks”下添加鍵值的方式，實現木馬組件的開機自動運行。

　　英文名稱：TrojanSpy.Zbot.fnj

　　中文名稱：“砸波”變種fnj

　　病毒長度：409088字節

　　病毒類型：間諜木馬

　　危險級別：★★

　　影響平臺：Win 9X/ME/NT/2000/XP/2003

　　MD5 校驗：c94054b15cb6469a175578b26ce91d81

　　特征描述：

　　TrojanSpy.Zbot.fnj“砸波”變種fnj是“砸波”間諜木馬家族中的最新成員之一，采用“Microsoft Visual C++ 6.0”編寫，并且經過加殼保護處理。“砸波”變種fnj運行后，會自我復制到被感染計算機系統的“%SystemRoot%\system32\”目錄下，重新命名為“oembios.exe”。同時，還會在該文件的尾部添加不定長度的垃圾代碼，并修改文件的時間屬性為系統安裝日期，以此迷惑用戶，實現了更好的隱藏效果。“砸波”變種fnj運行時，會將惡意代碼注入到“winlogon.exe”進程中隱密運行，從而防止被輕易地查殺。在被感染計算機系統的后臺秘密竊取用戶的機密信息（包括用戶的敏感文件、賬戶信息等），然后在后臺將竊取到的信息發送到駭客指定的遠程站點“www.vsedlysn*.ru”上，從而給被感染計算機用戶造成了不同程度的損失。該木馬還可以下載惡意程序至被感染計算機并自動調用運行，這些惡意程序可能為網絡游戲盜號木馬、遠程控制后門或惡意廣告程序（流氓軟件）等，從而給用戶造成了不同程度的損失。同時，“砸波”變種fnj會修改注冊表鍵值“userinit”，以此實現了木馬的開機自啟。

　　針對以上病毒，江民反病毒中心建議廣大電腦用戶：

　　1、請立即升級江民殺毒軟件，開啟新一代智能分級高速殺毒引擎及各項監控，防止目前盛行的病毒、木馬、有害程序或代碼等攻擊用戶計算機。

　　2、江民KV網絡版的用戶請及時升級控制中心，并建議相關管理人員在適當時候進行全網查殺病毒，保證企業信息安全。

　　3、江民殺毒軟件增強虛擬機脫殼技術，能夠對各種主流殼以及疑難的“花指令殼”、“生僻殼”病毒進行脫殼掃描，有效清除“殼病毒”。

　　4、開啟江民殺毒軟件的系統監控功能，該功能可對病毒試圖下載惡意程序、強行篡改系統時間、注入進程和調用其它惡意程序等行為進行監控并自動干預、處理，有效地遏制了未知病毒對系統所造成的干擾和破壞，更大程度的提高了計算機對于未知病毒的防范能力。

　　5、江民殺毒軟件擁有強大的自防御體系，能有效阻止“驅動級病毒”關閉和破壞殺毒軟件，確保殺毒軟件所有功能的完全發揮，為保障系統和數據安全打下了堅實的基礎。

　　6、江民防馬墻，能夠第一時間發現和阻止帶有木馬病毒的惡意網頁，可以自動搜集惡意網址并加入特征庫，阻止了網頁木馬的傳播，有效地保障了用戶的上網安全。

　　7、全面開啟BOOTSCAN功能，在系統啟動前殺毒，清除具有自我保護和反攻殺毒軟件的惡性病毒。

　　8、禁用系統的自動播放功能，防止病毒通過U盤、移動硬盤、MP3等移動存儲設備感染計算機。

　　9、懷疑已中毒的用戶可進入賽迪網病毒求助專區尋求專家幫助：http://bbs.tech.ccidnet.com/thread.php?fid=87