金山12.28病毒：木马下载器20480和破天木马1851

　　“木马下载器20480”（Win32.TrojDownloader.wmTable.a.20480），这是一个下载者病毒。此病毒文件为muma.exe的可执行文件，但并不局限于该名称，病毒传播者也可能给它取别的名字。它会从指定的网址下载一份下载列表，下载并执行列表中的数十种盗号木马程序。

　　“破天木马1851”（Win32.PSWTroj.OnlineGames.nc.18515），该病毒是网络游戏《破天一剑》的盗号木马。病毒运行后会衍生病毒文件至系统目录下，然后注入游戏进程，偷去游戏账号和密码等信息，并通过网页提交的方式发送到木马种植者手上。

　　一、“木马下载器20480”（Win32.TrojDownloader.wmTable.a.20480） 威胁级别：★

　　此病毒进入系统后，并无释放文件的行为，它会立即运行自身病毒文件muma.exe，从http://m.*******.cn/wm/这一由木马种植者指定的网址下载一份名为wm.txt的文本文件。在这个文本文件中，包含了26个盗号木马程序的最新下载地址。

　　当读取了下载列表，病毒就会悄悄建立远程连接，在用户无法知晓的情况下，下载列表中的木马程序，将它们存放于系统盘的%WINDOWS%avp目录下，并立刻把它们激活运行。由于木马种类众多，破坏行为也多样，这就会给用户的系统安全和虚拟财产带来无法估计的威胁。

　　此外需要提及的是，此病毒名称并不固定，木马种植者可以给它起名muma.exe，也可以起其它名字。并且，它多为随其它病毒进入到用户系统的“帮凶”，如果用户在自己的电脑中发现它，意味着你的电脑中很可能已经潜入了其它病毒。

　　二、“破天木马1851”（Win32.PSWTroj.OnlineGames.nc.18515） 威胁级别：★

　　病毒进入用户系统后，会在系统盘中释放出两个病毒文件，分别为系统根目录%WINDOWS%下的SSLDyn.exE和%WINDOWS%system32目录下的SSLDyn.dll。然后，修改注册表启动项，将自己的相关数据写入其中，达到随系统自动启动之目的。完成这个步骤后，病毒就将自己的原始文件删除，这样，用户就不容易发现自己电脑里出现多余的东西。

　　如果病毒顺利地运行起来，它就会把之前生成的DLL文件注入到系统的桌面进程Explorer.exe，以及其它非系统进程当中，不停的搜索网络游戏《破天一剑》的进程。

　　发现目标后，病毒立即注入其中，监视玩家与游戏服务器之间的通讯信息，从中过滤用户的账号和密码，得手后以网页提交的方式发送到木马种植者指定的网址http://www.j*****.cn/shijian/tempes/post.asp当中，给用户造成虚拟财产的损失。

　　金山反病毒工程师建议

　　1.最好安装专业的杀毒软件进行全面监控，防范日益增多的病毒。用户在安装反病毒软件之后，应将一些主要监控经常打开（如邮件监控、内存监控等）、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。

　　2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，及时升级杀毒软件，开启防火墙以及实时监控等功能，切断病毒传播的途径，不给病毒以可乘之机。

　　金山毒霸反病毒应急中心及时进行了病毒库更新，升级毒霸到2007年12月28的病毒库即可查杀以上病毒；如未安装金山毒霸，可以登录http://www.duba.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816，反病毒专家将为您提供帮助。