金山4.18病毒播报：警惕网络小广告、键盘记录员

金山毒霸每日病毒预警

“网络小广告24391”（Win32.Adware.Agent.LL.24391），这是一个广告木马程序。它会在后台擅自利用IE浏览器登录广告网页，浪费用户的网络流量，并损耗系统资源。
“键盘记录员108627”（Win32.PSWTroj.OnLineGames.xn.108627），这个病毒是一个盗号木马程序。它利用键盘记录的方法，记录下用户输入的全部信息，进行加密后发送给病毒作者。病毒作者通过一定技术手段，就可以从这些信息中筛选出用户的各类帐号和密码。

一、“网络小广告24391”（Win32.Adware.Agent.LL.24391）威胁级别：★
    许多计算机用户在上网的时候可能都遇到过广告木马的骚扰：在你浏览网页时，突然弹出一个别的窗口，全是广告宣传内容。这些页面除了干扰大家的正常上网，还会严重浪费用户的网络流量。
    本篇播报中的病毒便是一个广告木马程序。它主要利用网页挂马和借助下载器的方式进行传播。病毒运行原理很简单，它在进入用户系统后，复制自身的文件autoc0n.exe到系统盘的%WINDOWS%system32%目录下，并将其属性设置为隐藏，让用户无法察觉到系统中多出了不明文件。然后，修改注册表，将自己与IE浏览器捆绑到一起，实现开机自启动。
    当顺利启动后，病毒就会在后台擅自运行IE浏览器，登录到病毒作者指定的广告页面http://www.jl.*****net.com，迫使用户浏览广告。经毒霸反病毒工程师检查，发现该广告网站占用数据流量严重，这对于网络流量费较贵的用户来说，这就无异抢钱。并且，由于广告网页的安全性较差，容易被其它病毒挂马，这也就增加了用户系统的危险系数。
    关于该病毒的详细分析报告，可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-adware-agent-ll-24391-50538.html

二、“键盘记录员108627”（Win32.PSWTroj.OnLineGames.xn.108627）威胁级别：★★
    此篇预警播报中的病毒，是一个非常贪心的木马程序。它不仅仅是窃取网络游戏的帐号，任何输入电脑的数据都会被它悉数盗走。
    木马在系统中释放完文件后，首先会修改SSDT(系统服务调度表)，从而接触各种具有主动防御功能的杀毒软件的武装。然后，它修改注册表中的相关数据，把病毒文件属性设置为“系统”、“隐藏”和“只读”，并将显示模式锁定为隐藏，让用户无法发现病毒文件。
    接下来，病毒启动监视程序，监视用户的鼠标、键盘操作，从而记录下用户操作电脑时输入的各种信息。并每隔一段时间，就将这些偷到的信息加密，以邮件的形式通过SMTP通信协议和网页收信空间发送给木马作者。所谓的SMTP，是一种可以免除验证的通讯方式，能为WINDOWS系统用户之间的通讯提供便利，但也因此而被一些病毒作者所利用。
    由于是采取完整的键盘记录，用户在中毒电脑上输入的所有信息都会被病毒作者所掌握。他只需经过简单的分析和筛选，便可从中找到用户输入的各种帐号和密码，甚至可以掌握用户的个人隐私。
    习惯手动查杀的用户，请留意病毒释放出的以下文件，分别为%WINDOWS%system32目录下的mmvo.exe和mmvo0.dll，以及系统临时目录%Temp%中的一个随机命名的.dll格式文件。一定要将它们清除，系统才可恢复正常。
    关于该病毒的详细分析报告，可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-pswtroj-onlinegames-xn-108627-50539.html

金山反病毒工程师建议
1.最好安装专业的杀毒软件进行全面监控，防范日益增多的病毒。用户在安装反病毒软件之后，应将一些主要监控经常打开（如邮件监控、内存监控等）、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。
2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，及时升级杀毒软件，开启防火墙以及实时监控等功能，切断病毒传播的途径，不给病毒以可乘之机。
金山毒霸反病毒应急中心及时进行了病毒库更新，升级毒霸到2008年4月18的病毒库即可查杀以上病毒；如未安装金山毒霸，可以登录http://www.duba.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816，反病毒专家将为您提供帮助。