“赌徒”（Win32.Troj.Huigezi.434453），这是一个广告木马程序。它采用了一些类似于灰鸽子的技术。病毒运行后会篡改IE浏览器默认首页，造成IE自动弹出一些莫名其妙的广告网页。

　　“鸽子窝下载器363520”（Win32.Hack.Huigezi.363520），这个是一个蠕虫型下载器。它采用了类似灰鸽子的部分代码，会通过局域网和AUTO技术进行传播，下载其它病毒程序到中毒电脑中运行。

病毒名称：Trojan/PSW.OnlineGames.gen

　　中 文 名：“网游窃贼”变种

　　病毒长度：10836字节

　　病毒类型：木马

　　危险级别：★★

　　影响平台：Win 9X/ME/NT/2000/XP/2003

　　Trojan/PSW.OnlineGames.gen“网游窃贼”变种是“网游窃贼”木马家族的最新成员之一，采用高级语言编写，并经过加壳保护处理。“网游窃贼”变种运行后，在被感染计算机系统“%SystemRoot%\system32\”目录下释放木马DLL组件“midimapzx.dll”。将释放的DLL组件插入所有进程中运行，隐藏自身，躲避安全软件的查杀。修改注册表，实现木马开机自动运行。如果发现自身运行于“elementclient.exe”进程内部，则采用HOOK技术和内存截取技术，盗取《完美世界》、《赤壁》、《武林外传》等多款网络游戏玩家的游戏帐号、游戏密码、身上装备、背包装备、角色等级、游戏区服、计算机名称等信息，并在被感染计算机的后台将窃取到的玩家游戏帐号信息发送到骇客指定的远程服务器站点上，造成玩家的游戏帐号、装备物品、金钱等丢失。另外，“网游窃贼”变种还能查找并强行关闭某些安全软件，给用户的计算机安全带来较大程度的威胁。

　　病毒名称：Trojan/KillDisk.j

　　中 文 名：“硬盘魔鬼”变种j

　　病毒长度：40960字节

　　病毒类型：木马

　　危险级别：★★

　　影响平台：Win 9X/ME/NT/2000/XP/2003

　　Trojan/KillDisk.j“硬盘魔鬼”变种j是“硬盘魔鬼”木马家族的最新成员之一，采用VC编写，未经过加壳保护处理。如果用户计算机感染该木马，且当前用户具有操作系统管理员权限，那么“硬盘魔鬼”变种j会打开“PhysicalDrive0”读写物理硬盘内容，恶意破坏硬盘的分区信息，导致被感染计算机系统无法开机运行。用户需要选用专业工具来恢复硬盘分区信息，否则极有可能会破坏硬盘上保存的数据信息，给用户带来巨大的损失。另外，“硬盘魔鬼”变种j将自身的文件描述修改为“中华吸血鬼专杀”，具有一定迷惑性，诱骗用户点击运行。

　　一、“赌徒”（Win32.Troj.Huigezi.434453） 威胁级别：★

　　灰鸽子被打击后，转入地下活动，已不像过去那么嚣张。但它的变种、以及学习了它的技术的其它木马，依旧不断出现。最近一段时间，毒霸许多用户反应，他们电脑上的毒霸频繁拦截到灰鸽子家族的入侵。

　　本篇预警播报中的病毒就是一个类似灰鸽子的木马程序。它是个广告木马，对系统的危害性不是很明显，但弹出的广告十分烦人。并且它会阻止用户修复IE。

　　病毒进入用户电脑后，在%WINDOWS%目录中释放出文件Helper32.DLL和Helper32.exe，以及%Documents and Settings%\LocalService\Favorites\Desktop.ini。需要注意的是，Desktop.ini这个文件是病毒运行完毕、并且执行了自删除命令后才生成。因此，如果发现了该文件，就说名此病毒已经在你的电脑中站稳脚跟了。

　　病毒运行完成，意味着它已经修改了用户系统的注册表，实现自动启动。如果用户启动IE浏览器，会发现IE浏览器的默认主页被修改为一家香港六合彩网站，强迫用户登录浏览。并且还会弹出一些其它乱七八糟的赌博类网页。病毒会锁死IE的各属性，让用户无法进行修复。

　　关于该病毒的详细分析报告，可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-troj-huigezi-434453-50794.html

　　“鸽子窝下载器363520”（Win32.Hack.Huigezi.363520） 威胁级别：★★

　　这个下载器病毒具有很强的感染性。每当它进入到一个新的电脑中，就会在所有的磁盘分区下生成文件setup.exe与AutoRun.inf，只要用户双击进入含毒分区，病毒就会被运行起来，搜索是否有U盘等移动存储设备，将其感染，以便能传染到别的电脑上，由于这两个文件都被设置为隐藏模式，用户不容易发现它们。

　　同时，该毒还会利用感染exe文件来进行传染。

　　它的对抗能力也较强。进入系统后，该毒会通过搜索窗口关键字的方式，判断用户系统中是否安装得有安全软件，如有，则将其强行关闭。由于病毒自带的关键词库较大，已知的大部分安全软件都是它的目袭击标。

　　当该毒在用户电脑里顺利运行起来，它便悄悄连接到指定的远程地址，每隔20分钟下载一次其它病毒运行。经毒霸反病毒工程师检查，这些病毒文件都是网游或网银盗号木马，由于其中一些具有全局键盘记录功能，还有可能对用户的商业机密和个人隐私构成威胁。

　　此外，该毒针对企业、网吧等局域网用户设置有ARP攻击功能。它每隔半小时就搜索一次局域网内的电脑IP，向整个网络发起攻击，严重影响网速。并尝试破解其它电脑的口令，好将自己传染到这些电脑上。

　　目前毒霸可以完全查杀这一病毒，已安装毒霸的用户可以不必担心。

　　“线上游戏窃取者变种OPW (Trojan.PSW.Win32.GameOL. opw)”病毒：警惕程度★★★，盗号木马病毒，通过网络传播，依赖系统：Windows NT/2000/XP/2003。

　　这是一个偷游戏密码的病毒。病毒采用Delphi语言编写，Upack加壳。病毒运行后会释放一个名称为随机8位字母组合的exe和名称为随机八位字母组合的dll文件，设置自身属性为系统，隐藏，改写注册表项实现自启动。病毒会把动态库注入到Explorer.exe进程中并查找进程中是否存在游戏进程，当找到游戏进程时，把自己注到游戏进程中，获取用户输入的账号密码并发送到指定的网址。运行完毕之后，该病毒还会删除自身，逃避杀毒软件的查杀。