警惕“黑客遥控器9728”遥控你的电脑

一、“黑客远程控制9728”(Win32)的威胁等级。Hack.PcClient.9728): ★

病毒进入系统后，在系统盘根目录下释放出五个病毒文件，分别是%WINDOWS%下的0004bb58.inf，另外三个随机命名。dll，。钥匙和。sco文件和%WINDOWS%\drivers\目录下的一个. sys文件。然后，它修改注册表系统键，并向其中添加自己的相关数据，以便它可以随着系统启动而启动。

为了避免用户发现，病毒会将自己伪装成一个名为“rtltvb”的WINDOWS系统的服务进程。如果用户注意检查它的属性，可以发现它的描述是“微软。NET Framework TPM”，路径为“%sys32dir%\svchost.exe -k rtltvb”。真的是伪装的！

如果运行顺利，病毒会读取注册表中关于代理服务器的数据，从而知道用户代理服务器的地址。然后尝试在后台悄悄创建多个线程，与黑客指定的远程服务器2*1.2*7.17.2*6建立通信，随时等待黑客的指令，让用户的电脑完全处于黑客的控制之下。

二。“网游盗号木马14452”(win32 . troj . agentt . FM . 14452)威胁等级:★

病毒进入用户电脑系统后，在系统盘中释放出四个病毒文件，分别是%WINDOWS%\system32\目录下的avwgein.dll、avwgemn.dll和avwgest.exe，以及%WINDOWS%\Fonts\目录下的msguasd.fon。然后修改注册表，将自己的相关数据写入其中，达到随系统启动而启动的目的。

病毒开始运行时，会先在系统盘中搜索windows系统的安全补丁文件verclsid.exe(kb 908531)，一找到就删除。然后，病毒不断注入当前启动的进程，并自动判断注入的进程是否是ElementClient.exe。如果是，它立即启动监控程序，拦截用户的账号和密码等数据。

成功后，该病毒在用户不知情的情况下建立远程连接，将盗取的账号信息发送到木马种植者指定的接收地址http://www . 3 * * 678.cn/x * * q/97wg/post，给用户造成了虚拟财产的损失。ElementClient.exe这个名字已经被很多网络游戏采用，比如《武林传奇》、《完美世界》、《诛仙》等等。，病毒影响面积大。

金山反病毒工程师建议

1.安装专业的杀毒软件进行全面监控，防止病毒越来越多。安装杀毒软件后，用户应开启一些主要监控(如邮件监控、内存监控等。)，经常升级，遇到任何问题都要报告，这样才能真正保障电脑的安全。

2.随着玩网络游戏和用QQ聊天的用户逐渐增多，各种盗号木马也会随之增多。建议用户一定要养成良好的网络使用习惯，及时升级杀毒软件，开启防火墙和实时监控功能，切断病毒传播途径，不给病毒可乘之机。