“木马攻击模块4608”(Win32.Troj.AgentT.ff.4608)，这是某木马的组成模块，用于对抗具有主动防御功能的杀毒软件和一些安全工具。它能通过还原SSDT表的方式，使得一些杀软的主动防御功能失效，并解除部分安全工具对系统的保护，为整个木马的下一步作案扫清障碍。
   
    “完美盗号者57344”(Win32.Troj.OnlineGameT.pq.57344)，这是个针对《完美世界》的盗号木马。它能够破坏部分安全软件的正常运行，然后盗取游戏帐号和密码，并发送到病毒作者指定的远程地址。

    一、“木马攻击模块4608”(Win32.Troj.AgentT.ff.4608) 威胁级别：★★

    日渐流行的对抗型下载器，如机器狗、磁碟机等，都具有一个专门用于对抗安全软件的模块。本篇预警播报中的病毒，正是一个这种功能的木马模块。
   
    这个模块是一个驱动文件。当它随着整个木马进入用户电脑后，就会被释放出来。它把自己的一个函数注册为系统运行时需要调用的函数，还原系统SSDT表，如果这个动作成功，就可以解除一些具有所谓主动防御功能的杀毒软件的武装。

    接着，它继续修改系统中的数据，将磁盘驱动、桌面驱动等驱动文件，以及系统调度服务的部分函数破坏，令用户无法正常操作系统。

    如果在用户电脑中发现加密狗等加密软件，此木马模块也会修改它们的部分数据，将它们的函数指向自己，从而使加密软件失效。

    当病毒作者将这一木马模块配置到任何一个别的木马上时，那些木马也就具备了对抗安全软件的能力。毒霸反病毒工程师认为，这种情况代表着病毒制造者的分工继续细化了。

    二、“完美盗号者57344”(Win32.Troj.OnlineGameT.pq.57344) 威胁级别：★

    病毒进入电脑后，在系统盘的%WINDOWS%\system32\目录下释放出病毒文件MMSADZFB1064.exe、MMSADZFB1064.dll，其中前者是病毒主文件，会被写入注册表启动项，令病毒实现开机自启动，而后者用于注入进程盗取帐号。

    该病毒具有一定程度的对抗能力，可以破坏一些安全软件的正常运行。它在系统盘%WINDOWS%\system32\drivers\文件夹中生成驱动文件Hdv32.sys和Hdv32_.sys，利用它们替换SSDT表的系统服务函数地址，让具有主动防御功能的杀毒软件失效。

    随后，病毒直接枚举进程，强行关闭360安全卫士、瑞星等安全软件的进程。同时它会把《完美世界》的进程也关闭。

    当用户重新登录游戏时，病毒就利用之前释放出的dll文件记录下用户输入的帐号和密码，并发送至指定的接收网址。

    金山反病毒工程师建议

    1.最好安装专业的杀毒软件进行全面监控，防范日益增多的病毒。用户在安装反病毒软件之后，应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。

    2.由于玩网络游戏、利用QQ等即时聊天工具交流的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，如不要登录不良网站、不要进行非法下载等，切断病毒传播的途径，不给病毒以可乘之机。

欢迎访问最专业的网吧论坛,无盘论坛,网吧经营,网咖管理,网吧专业论坛https://bbs.txwb.com

关注天下网吧微信,了解网吧网咖经营管理，安装维护: