黑客程序冒充WINDOWS系统自动升级文件

   “魔兽老千盗号器98816”（Win32.Troj.OnLineGames.ad.98816），这是一个网游盗号木马。它在进入用户系统后，就释放出自己的子文件，搜索并盗窃《魔兽世界》的帐号和密码。 
    “黑洞变种492032”（Win32.Hack.Heidong.hk.492032），这是一款黑客程序，主要功能是安装黑洞远程控制服务端，程序运行后释放文件到系统目录，创建自己的远程服务，让黑客可以远程控制客户端电脑。 

    一、“魔兽老千盗号器98816”（Win32.Troj.OnLineGames.ad.98816） 威胁级别：★ 

    该毒的子文件的命名具有随机性，病毒母体将它释放到%WINDOWS%目录下，以wow[X]_[X].dll，作为其名称，其中Ｘ为1000以内的随机数。 

    它修改注册表，给自己添加一个服务项。服务名为“Remote TCP/IP”映像路径的指向就是之前释放出的子文件。这样，以后用户每次开机时，它都可以跟着自动运行起来。 

    wow[X]_[X].dll会搜索《魔兽世界》的游戏进程，一旦发现就注入其中，根据病毒作者的设置，进行键盘记录或读取游戏内存，获得玩家的游戏账号和密码。 

    二、“黑洞变种492032”（Win32.Hack.Heidong.hk.492032） 威胁级别：★★ 

    这款黑客程序出现在反病毒工程师的视野中已有较长时间，它不断有新变种出现。本篇播报中的变种，主要行为和其它黑客程序一样，是建立远程连接，不过它会采用伪装成WINDOWS升级程序的方法来欺骗用户。 

    它在%WINDOWS%目录下释放出自己的三个子文件，分别为WinLiveUp.dat、WinLiveUp.dll和WinLiveUp.exe，名称看上去都很像WINDOWS系统的升级文件进程。如果是对系统不熟悉的用户，就很容易被欺骗。 

    当顺利潜伏下来，该毒就修改注册表，实现开机自启动，并于下一次开机后，连接病毒作者指定的远程地址，协助黑客入侵用户电脑。 

    金山反病毒工程师建议 

    1.最好安装专业的杀毒软件进行全面监控，防范日益增多的病毒。用户在安装反病毒软件之后，应将一些主要监控经常打开（如邮件监控、内存监控等）、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。 

    2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，及时升级杀毒软件，开启防火墙以及实时监控等功能，切断病毒传播的途径，不给病毒以可乘之机。