感染型下载器感染EXE文件下载病毒进行传播 _安全中国

“感染型下载器4096”（Win32.Gdata.a.4096），这是一个下载器程序。它利用感染EXE文件的方式来进行传播，运行后就下载其它病毒文件到用户系统中。

“传奇2盗号木马65536”（Win32.PSWTroj.OnLineGames.65536），该病毒是网络游戏《传奇2》的盗号木马。病毒运行后会衍生病毒文件至系统目录下，修改注册表生成启动项。然后盗取的游戏账号信息，并通过网页提交的方式发送到木马种植者手上。

一、“感染型下载器4096”（Win32.Gdata.a.4096）威胁级别：★

这个下载器具有较强的传播能力。它可以感染正常的EXE格式文件，利用它们被复制的机会来感染其它电脑。

它在进入用户电脑后，就搜索所有的EXE格式文件，把自己的代码写入到这些文件中。当用户运行这些文件时，病毒就能运行起来。它会先与正常文件脱离，然后调用正常文件运行，这样一来，就好像什么事都没发生过，从而麻痹用户。

接着，病毒遍历当前进程，找到桌面进程文件explorer.exe，注入其中，实现隐蔽运行。它悄悄连接病毒作者指定的远程地址http://61.1*1.*7.71，下载一个木马文件，将其命名为Temp.exe，存放到系统盘%WINDOWS%目录中运行，引发更多其它破坏。

二、“传奇2盗号木马65536”（Win32.PSWTroj.OnLineGames.65536）威胁级别：★

这个盗号木马针对的是《传奇2》的帐号和密码。它可以利用捆绑文件和下载器帮助的方式传播，当进入用户系统后，就会释放出病毒文件。

释放出病毒文件kcomx32.dll和kcomx32.exe，其中kcomx32.exe是病毒主文件，它的相关数据会被写入系统注册表，帮助病毒实现开机自启动。而kcomx32.dll则会被用来执行盗号工作。

当病毒运行起来后，它就会搜索游戏的进程，然后注入其中，通过读取游戏进程内存的方式来获得帐号和密码，然后用网页提交的方式将它们发送到http://www.*******.cn/xintiancq/post.asp这个由病毒作者指定的远程地址。给用户造成虚拟财产的损失。

金山反病毒工程师建议

1.最好安装专业的杀毒软件进行全面监控，防范日益增多的病毒。用户在安装反病毒软件之后，应将一些主要监控经常打开（如邮件监控、内存监控等）、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。

2.由于玩网络游戏、利用QQ等即时聊天工具交流的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，如不要登录不良网站、不要进行非法下载等，切断病毒传播的途径，不给病毒以可乘之机。