病毒自我复活关闭杀毒软件 警惕自动网页弹出病毒

             【PC3721】12月17日病毒预警：“AUTO网页弹射器”（Win32.Troj.MnLess.65536），这是一个恶意软件。该程序运行后会关闭瑞星，金山，卡巴等一些常用的反病毒软件，并在用户访问网页时弹出网页。它还会在全部磁盘的目录下生成AUTO病毒文件。 　　“网游窃贼131072”（Win32.Troj.OnlineGames.vx.131072），这是一个网络游戏盗号木马变种。病毒运行后会复制自身至系统文件夹，注入桌面进程，查找查找《浩方游戏平台》、《剑侠情缘2》、《热血江湖》、《完美世界》等网络游戏的进程，如果存在则通过读写内存的方式盗取用户游戏帐号、密码、所在服务器等信息，然后将盗取信息发送至远程服务器。 　　“AUTO网页弹射器”（Win32.Troj.MnLess.65536） 威胁级别：★ 　　病毒进入电脑系统后，会释放出两个病毒文件，分别为%Program Files%\Uninstall Information\目录下的ichdf.exe，以及%windows%\inf\目录下的svchost.exe。然后，病毒修改注册表，将这两个文件的相关信息写入注册表的启动项。这样，以后病毒就可以随着系统的启动而自动运行起来。 　　与此同时，病毒在全部的磁盘分区中生成AUTO病毒文件，只要用户试图双击打开染毒的磁盘，病毒就会被再次激活。在此之后，只要用户在这台电脑上使用U盘等移动存储器，病毒就会将其感染，借机扩大自己的地盘。 　　Ichdf.exe和svchost.exe这两个病毒文件运行起来后，立刻查找并关闭金山、卡巴斯基、360、瑞星等厂家的安全软件。并且，它们还会互相守护，如果一个进程被用户或安全软件结束掉了，另一个会马上再次修改注册表“复活”它，这样一来，就加大了对病毒进行查杀的难度。 　　最后，病毒修改用户IE浏览器的设置，当用户在浏览器的地址栏中输入网址时，病毒就会立即弹出一些木马种植者指定的网页，迫使用户点击。 　　“网游窃贼131072”（Win32Troj.OnlineGames.vx.131072） 威胁级别：★ 　　病毒顺利进入用户的电脑系统后，会在系统盘的%windows%目录下释放出cmdbcs.exe病毒文件，在%windows%\system32\目录下释放出cmdbcs.dll病毒文件，之后就删除掉自己的原文件，让用户不易发现它进入电脑时留下的痕迹。病毒还修改注册表启动项，把自己的信息加入其中，达到以后都可以随系统自动启动之目的。 　　病毒运行起来后，就注入系统进程，开始查找网络游戏《完美世界》的游戏窗口“ElementClient Window”、“ZElementClient Window”，以及《浩方游戏平台》的进程“gameclient.exe”、《剑侠情缘2》的进程“SO2Game.exe”、《热血江湖》的进程“client.exe”。如果发现，就通过读写内存的方式盗取它们的用户帐号、密码，以及所在服务器等信息。 　　如果得手，就会在用户无法知晓的情况下建立远程连接，把偷来的资料都发送到http://j*1.so****jj.com/c**h/lin.asp?s=%这个由木马种植者指定的邮箱，给用户造成虚拟财产的损失。