网游大盗坚挺 广告插件彰显“流氓”风范

    提到流氓软件，很多朋友都深受其害，不过在2007年流氓插件稍显“低调”。不过记者最近从金山毒霸方面获得最新消息：一种BHO广告插件开始传播，具备广告模式的新木马出现了。

    “BHO广告插件83456”（Win32.ADA.a.83456），这是一个广告插件木马。该木马运行后，复制自身到系统文件夹，擅自修改注册表注册表中添加BHO浏览器加载项，造成IExlpore.exe启动时会弹出广告。此木马还具备自动更新功能。
 
    “网游大盗95744”（Win32.PSWTroj.OnlineGames.95744），这是一个盗取《剑侠情缘2》、《破天一剑》、《征服》、《卓越之剑》以及“浩方对战平台”等游戏和软件帐号的木马变种。它运行后首先会循环查找并试图关闭杀毒软件“卡巴斯基”的报警和提示的窗口。然后展开全局监视，伺机窃取用户的帐号信息，并回传到木马投放者指定的网址。

    一、“BHO广告插件83456”（Win32.ADA.a.83456）  威胁级别：★★

    病毒在电脑中运行起来后，会在系统盘的%WINDOWS%\system32\目录下释放出一个随机命名的.dll格式病毒文件。然后在不告知用户的情况下修改注册表，将BHO（Browser Help Objects浏览器辅助插件）的相关数据写入浏览器中，并将自己设为随系统启动而启动。

    当电脑重新启动后，病毒就会注入到系统桌面进程Explorer.exe中，并不时弹出木马作者指定的广告，如果用户不小心点击，就会被立即引导到广告网站，为该站点“贡献”流量。如果这些广告网站上被挂有木马程序，用户电脑的系统安全就会处于危险之中。

    此外，病毒还会悄悄建立远程连接，从木马作者指定的地址“http://i**p*n.y**ames.com/ie**wn/down”下载升级文件，实现自动更新。

    二、“网游大盗95744”（Win32.PSWTroj.OnlineGames.95744）  威胁级别：★★

    病毒进入用户系统后，在系统盘%WINDOWSt%目录下释放出病毒文件NAVMon32.exE和NAVMon32.dll，并将自己的相关数据写进注册表启动项，实现随系统启动而自动运行之目的。

    如果顺利运行起来，病毒就将之前生成的dll文件注入到系统桌面进程explorer.exe中，展全局监视。如果发现了《剑侠情缘2》、《破天一剑》、《征服》、《卓越之剑》等网络游戏，以及“浩方”对战平台的进程，就立即注入其中，通过读取游戏住程序内存的方式，获取用户的帐号信息。

    得手之后，病毒在用户无法知晓的情况下建立远程连接，将偷到的帐号信息发送至木马投放者指定的网址“http://www.n**dvd.com/m**g*en/lin.asp”，给用户造成虚拟财产的损失。