【IT168 资讯】“节哀顺便”(Win32.TrojDownloader.Agent.lg.237568)，这是一个具有感染性质的病毒，它运行后，机器速度立即减慢，病毒迅速感染已安装的杀毒软件和安全辅助软件，使用户无法使用防御病毒的入侵。而系统时间也会被修改为2030年，使依赖系统时间的软件全部失效。病毒还会对“任务管理器”和“文件夹选项”做手脚，并进行修改浏览器主页、擅自共享资源等操作，行为十分恶劣，广大用户应特别注意该病毒。

　　“网游大盗131072”(Win32.Troj.OnlineGamesT.NL.131072)，这是一个网游盗号木马，它会注入桌面进程explorer.exe。如果发现有《魔兽世界》、《破天一剑》、《浩方》、《惊天动地》、《完美世界》、《QQ游戏》以及QQ的主程序，就会通过读取相关进程内存的方式盗取用户的帐号信息。

　　一、“节哀顺便”(Win32.TrojDownloader.Agent.lg.237568) 威胁级别：★★

　　病毒潜入用户电脑系统后，会在系统盘中释放出6个病毒文件，分别为%windows%\system32\目录下的AUTORUN.INF、netshare.cmd、Avpser.cmd、Taskeep.vbs、SDGames.exe，以及%windows%下的system.ini。除此而外，病毒还在全部磁盘的根目录下生成AUTORUN.INF、Recycleds.url、SDGames.exe、Windows.url、新建文件夹.url等文件。

　　当病毒开始运行后，机器的运行速度明显减慢，看看系统时间，已经被修改成了“2030”年，这使依赖系统时间的软件全部失效。当用户打开浏览器，会发现首页被修改为一个伪装的“百度”，由于该网址同样具有正常的搜索功能，所以极具容易迷惑性。

　　如果用户想使用“任务管理器”和“文件夹选项”来查看是谁在系统中捣鬼，会发现这两个功能都被病毒屏蔽掉;而当用户试图打开注册表时，会弹出一个对话狂，提示“注册表编辑已被管理员停用”;再仔细检查，会发现连System32文件夹都不见了。看来，病毒已经把自己隐藏得非常深。大家这时应该会奇怪为什么安全软件为什么不报警吧，其实，它们早已被病毒感染，解除了武装。

　　当再次打开“我的电脑”时，用户可发现机器的硬盘以及软驱、光驱全部已经自动设置成共享状态，并且这种共享还被病毒锁死，无法改回正确的设置。这样，只要有谁愿意，都可以一览无遗地浏览用户电脑中的资料。

　　“网游大盗131072”(Win32.Troj.OnlineGamesT.NL.131072) 威胁级别：★

　　病毒顺利进入用户电脑系统后，在系统盘的%windows%目录下生成病毒主程序mppds.exe，还在%windows%\system32\目录下生成病毒文件mppds.dll。随后，它悄悄修改注册表，把自己的相关信息加入到注册表启动项中，使自己以后都可以在用户启动系统时随之自动运行起来。

　　当病毒运行起来时，它会利用主程序将之前生成的dll文件注入桌面进程explorer.exe的进程空间中，并进行全局监视，不断嗅探《魔兽世界》、《破天一剑》、《浩方》、《惊天动地》、《完美世界》、《武林外传》、《诛仙》、《QQ游戏》以及QQ的主程序。如果发现它们的进程或者窗口，则注入其中，通过读取内存的方式盗取用户帐号信息。

　　如果顺利得手，病毒就在用户无法知晓的情况下建立远程连接，将偷来的帐号信息发送到Http://www.n**dvd.com/g**a/lin.asp这个由木马种植者安排好的邮箱中，给用户造成虚拟财产的损失。

　　金山反病毒工程师建议

　　1.最好安装专业的杀毒软件进行全面监控，防范日益增多的病毒。用户在安装反病毒软件之后，应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。

　　2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，及时升级杀毒软件，开启防火墙以及实时监控等功能，切断病毒传播的途径，不给病毒以可乘之机。

　　金山毒霸反病毒应急中心及时进行了病毒库更新，升级毒霸到2007年12月18的病毒库即可查杀以上病毒;如未安装金山毒霸，可以登录http://www.duba.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816，反病毒专家将为您提供帮助。