【赛迪网-IT技术报道】“封神榜Ⅱ盗号器24576”（Win32.Troj.OnlineGameT.nx.24576），这是一个针对网络游戏《封神榜Ⅱ》的盗号木马程序。病毒作者为躲避查杀，对病毒进行了加壳和加密，并给病毒设置了自我删除的功能。

“MSN伪装下载器18776”（Win32.Troj.AgentT.ac.18776），该病毒是一个木马下载器。它的原始文件会伪装成MSN的文件名称。运行后下载大量木马病毒至用户机器上安装。病毒运行完毕后，还会删除自己的原始文件。

一、“封神榜Ⅱ盗号器24576”（Win32.Troj.OnlineGameT.nx.24576） 威胁级别：★

任何一个网络游戏，只要玩家数量足够多，就能引起盗号木马制作这的注意。近来，《封神榜Ⅱ》就又被木马作者盯上。

这个盗号木马具有自动删除的功能，它进入系统后，会将自己病毒将自身fssetlek.exe复制到%WINDOWS%\system32\目录下，然后就删除原始文件，减少被用户发现的机率。

Fssetlek.exe运行起来后，会释放出病毒文件fssetle.dll，此文件用于执行盗号行为。病毒利用它，查找《封神榜Ⅱ》的窗口“FSOnline2”来，在查找到之后，就结束它。这样一来，玩家只得重新登陆游戏。

这时病毒就可趁机盗取账号和密码，并将获取的消息发送到wjka**3.til***ai.com/totals/push.asp这个由病毒作者指定的地址。

二、“MSN伪装下载器18776”（Win32.Troj.AgentT.ac.18776） 威胁级别：★

这个下载器的作案原理很简单，它采用伪装成MSN的办法，试图骗过杀毒软件，但明显失败。

进入用户电脑后，此毒将自己的主文件MSN.exe复制到%WINDOWS%\system32\目录下，然后修改系统中关于发出报警音的驱动文件，也就是%WINDOWS%\system32\dllcache\目录与%WINDOWS%\system32\drivers\目录下的beep.sys。完成这个修改，系统在出现异常时，也不会发出警报音。

接下来，病毒就连接指定的网址http://down.*****.com/unin，获取一份下载列表，根据其中的地址，下载更多木马文件到本机安装运行。

在运行完毕后，此毒就删除自己的原始文件，避免用户发现系统中出现多余的东西。

金山反病毒工程师建议

1.最好安装专业的杀毒软件进行全面监控，防范日益增多的病毒。用户在安装反病毒软件之后，应将一些主要监控经常打开（如邮件监控、内存监控等）、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。

2.由于玩网络游戏、利用QQ等即时聊天工具交流的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，如不要登录不良网站、不要进行非法下载等，切断病毒传播的途径，不给病毒以可乘之机。

(