病毒名称：Trojan/PSW.Moshou.atn
中 文 名：“魔兽”变种atn
病毒长度：45412字节
病毒类型：木马
危害等级：★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.Moshou.atn“魔兽”变种atn是“魔兽”木马家族的最新成员之一，采用VC++ 6.0编写，并经

过加壳处理。“魔兽”变种atn运行后，在后台秘密监视用户打开的窗口标题，专门盗取网络游戏《魔兽

世界》玩家的游戏帐号、游戏密码、仓库密码、角色等级等信息，并在后台将玩家信息发送到骇客指定的

远程服务器上，致使《魔兽世界》玩家的游戏帐号、装备物品、金钱等丢失，给游戏玩家带来非常大的损

失。修改注册表，实现木马开机自动运行。
 
病毒名称：TrojanClicker.VB.hh
中 文 名：“视频宝宝”变种hh
病毒长度：16384字节
病毒类型：木马点击器
危害等级：★
影响平台：Win 9X/ME/NT/2000/XP/2003
TrojanClicker.VB.hh“视频宝宝”变种hh是“视频宝宝”木马家族的最新成员之一，采用VB 6.0编写，

并经过加壳处理。“视频宝宝”变种hh运行后，自我复制到被感染计算机系统的指定目录下，并重新命名

为googletoolbars.exe。修改注册表，实现木马开机自动运行。在被感染计算机系统中定时弹出恶意广告

网页，增加某些网站的访问量，干扰用户的正常操作。这些恶意广告网站中可能含有隐藏的网页木马链接

，如果用户访问这些带毒的网页，用户计算机就很可能被感染，给用户带来不同程度的损失。

　一、“杀软克星下载器835072”（Win32.Troj.BlackcsT.a.835072） 威胁级别：★★

　　病毒进入系统后，在系统盘的%WINDOWS%\system32\目录下生成病毒文件api32.exe、Autorun.inf、

svchost.dll 、urls.dll，然后修改注册表，实现随系统自动启动之目的。同时，病毒会劫持目前知名度

较高的安全软件，包括毒霸、诺顿、卡巴斯基、瑞星、冰刃、木马克星、360安全卫士、Windows木马清道

夫、Merijn Hijackthis浏览器配置监视程序、绿鹰PC万能精灵、Anti ARP Sniffer等在内的数十款计算

机安全产品均是此病毒的劫持目标。如果劫持成功，这些软件都将无法正常运行，当用户运行它们时，只

会不断激活病毒。而失去安全软件保护的电脑，会极易受到来自网络的攻击。

　　当病毒成功运行起来，会把之前生成的svchost.dll文件注入到Windows系统的登陆管理器进程

winlogon.exe中，利用此进程的空间来运行自己，这样用户就不容易发现它。

　　病毒悄悄建立远程连接，从http://www.b*a*k*8.net/这个由木马种植者指定的地址下载最新的木马

地址列表文件，将其保存到%WINDOWS%目录下的exe.sys文件。随后，病毒便根据该列表去下载更多的其它

病毒，并将它们也保存到%WINDOWS%目录下运行。由于被下载下来的病毒种类多样，用户的系统安全、个

人隐私将受到无法估计的威胁。

　　二、“天龙盗号木马90112”（Win32.Troj.OnlineGameT.uv.90112） 威胁级别：★★

　　病毒进入用户电脑系统后，在将病毒文件WinFormA6.dll、WinFormA6.exe、WinFormA6.ini释放到系

统盘的%WINDOWS%\system32\目录下。然后，它修改系统注册表，把自己的相关数据加入其中，达到随系

统启动而自动运行之目的。同时，为防止系统升级后具备查杀它的能力，以及便于其下一步的破坏活动，

病毒会破坏系统的自动更新和防火墙功能，并建立一个.bat 格式的批处理程序，将%WINDOWS%\system32\

目录下一个名为 verclsid.exe 的安全更新文件删除。

　　当病毒运行起来，它就会将之前生成的WinFormA6.dll文件注入系统进程explorer.exe 中，搜索网络

游戏《天龙八部》的进程game.exe。由于“game.exe”这个文件名被许多游戏同时采纳，病毒在注入该文

件后，会判断其是否为《天龙八部》的进程，如果不是，便自动退出。如是，则展开监视，并伺机偷取用

户的帐号密码等信息。

　　如顺利得手，病毒便悄悄建立远程连接，把赃物发送到“http:/

/www.w**g.net.cn/tl**ngkuai/9898.asp”这个由木马种植者安排的地址，给用户造成虚拟财产的损失。