“问道盗号木马变种GN（Trojan.PSW.Win32.AskTao.gn）”病毒：警惕程度★★★，木马病毒，通过恶意网页、其它木马下载传播，依赖系统：Windows 9x/NT/2000/XP/2003。

    病毒运行后会试图关闭瑞星、江民、卡巴斯基等多种反病毒软件。该病毒会自动在后台监视用户的计算机，当发现用户运行《问道》游戏时，修改该游戏的内存代码，记录用户输入的帐号、密码信息并发送给黑客，从而窃取该游戏玩家的帐号和密码，给玩家带来损失。同时，该病毒还会从黑客指定的网站下载其它的病毒、木马及恶意程序。

在今天的病毒中Trojan/Kdcyy.a“千足虫”变种a和Trojan/Pakes.amv“小偷派克斯”变种amv值得关注。

病毒名称：Trojan/Kdcyy.a
中 文 名：“千足虫”变种a
病毒长度：23552字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/Kdcyy.a“千足虫”变种a是“千足虫”木马家族的最新成员之一，采用Visual C++ 6.0编写，并经过加壳处理。“千足虫”变种a运行后，自我注入到被感染计算机系统所有用户级权限的进程中加载运行，隐藏自我，防止被查杀。在被感染计算机的后台实时监视当前系统所运行的程序，一旦发现某些与安全相关软件的程序正在运行，强行将其关闭并退出，导致某些安全软件的升级程序和安装程序也无法启动运行，严重降低被感染计算机上的安全性。强行篡改注册表相关项，致使“显示隐藏文件”功能失效。在被感染计算机系统后台监视%SystemRoot%\system32\Com目录下的恶意程序“LSASS.EXE”，如果该进程被终止，则立即重新调用运行。在所有用户级权限的进程中循环加载运行恶意程序“LSASS.EXE”，直到被感染计算机系统出现蓝屏、死机现象为止。强行删除注册表相关项，破坏安全模式关联，致使用户无法进入安全模式。利用进程映像劫持技术，强行添加注册表相关键，达到终止部分杀毒软件启动运行的目的。

病毒名称：Trojan/Pakes.amv
中 文 名：“小偷派克斯”变种amv
病毒长度：1835008字节
病毒类型：木马
危害等级：★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/Pakes.amv“小偷派克斯”变种amv是“小偷派克斯”木马家族最新的成员之一，采用高级语言编写，并经过加壳处理。“小偷派克斯”变种amv运行后，自我复制到被感染计算机系统的指定目录下，并重新命名保存。修改注册表，实现木马开机自动运行。利用HOOK技术在被感染计算机系统的后台窃取用户计算机系统信息和网络游戏玩家的帐户信息，并将这些信息发送到骇客指定的远程服务器站点上或邮箱里，给用户带来不同程度的损失。

　一、“kav2007伪装下载者”（Win32.Hack.Agent.ys.1835005） 威胁级别：★★

　　病毒进入系统后，会在系统盘中释放出伪装成“毒霸2007”执行文件的病毒文件KAV2007.EXE，该文件一式两份，分别位于%Program Files%\Common Files\Microsoft Shared\目录和%WINDOWS%\system32\目录下。

　　紧接着，病毒在各磁盘分区中生成AUTO病毒，分别为kav2007.exe和autorun.inf辅助文件，只要用户双击进入该盘，病毒就会二次触发。如果用户在中毒电脑上使用U盘等移动存储器，且未关闭自动运行功能，病毒就会立即将移动设备传染，扩大自己的传播范围。用户如果进入到安装毒霸的磁盘分区，会看到有两个毒霸图标的文件，一个是无隐藏属性、无后缀的KAV2007，另外一个是kav2007.exe，前者是真正的毒霸文件，后者则是AUTO病毒源。

　　当病毒开始运行后，它会迅速将电脑中已安装的著名杀软厂商的产品强行关闭，如卡巴斯基等。然后悄悄建立远程连接，从病毒作者指定的网络地址下载其它病毒。在它下载的病毒中，有一些是针对游戏、通讯软件盗号木马，会造成用户虚拟财产的损失。

　　当机器重启后，含有AUTO病毒的盘符将无法再度打开，强制点击只会触发更多次的AUTO病毒。随着进入的病毒越来越多，用户系统将遭到无法估计的更大破坏。

　　二、“剑侠小毛贼77824”（Win32.PSWTroj.GameOnline.77824） 威胁级别：★

　　病毒进入电脑系统后，在系统盘%WINDOWS%目录下释放出病毒文件mshmsdjs32.dll和vthvmymyn.dll，然后立刻删除自己原始文件，使得用户不易发现自己系统中出现多余的文件。需注意的是，DLL文件为随机命名，会给手动杀毒的用户造成一定干扰。

　　接着，病毒将之前释放出来的的DLL文件注入系统桌面进程，并不断注入所有正在运行中的程序，查找是否有网络游戏《剑侠情缘》的进程。如有就注入其中，将帐号信息窃取。

　　得手后，病毒就在后台建立远程连接，把赃物发送至http://www.pk*1*3.cn/x**o/hf/jx.asp这个由病毒作者指定的地址，给用户造成虚拟财产的损失。