病毒伪装成记事本程序　截取用户密码数据

“密码盗窃器69632”（Win32.PSWTroj.QQPass.zc），这是一个盗窃密码的木马程序。该病毒将自己伪装成记事本程序，暗中截获用户在任何密码框中输入的数值，从而掌握用户的账号密码等敏感信息。它并不是采取常见的键盘记录，而搜索密码框类名，然后发送WM_GETTEXT 命令获取密码。

“MSN跳虫55808”（Win32.TrojDownloader.MSNBot.m.55808），这是一个通过MSN进行传播的木马程序。它会从指定网址下载完整的木马程序，并将下载的木马压缩后通过MSN来进行传播。

一、“密码盗窃器69632”（Win32.PSWTroj.QQPass.zc） 威胁级别：★★

病毒进入系统后，首先会进行伪装。它搜索出系统盘%WINDOWS%目录下的记事本程序Notepad.exe，将其更名为Mspad.exe，然后将自己的病毒文件取名为Notepad.exe，释放到同一目录下。一起被释放出来的还有Eudcedit.exe、Freecell.exe、Msscr.exe等文件。

接着，病毒修改系统注册表，将自己的相关数据写入启动项，实现开机自启动。如果顺利运行起来，它就使用 Timer 控件，监视窗口程序的运行，取得所有的窗口标题，判断其中是否有用于用户登录的窗口。如有，则监视登录窗口的密码输入栏，然后利用SendMessage函数命令，获取这些密码栏中的数据。

顺便提及，病毒作者没有给此病毒设置判断外部按键事件的功能，它就无法记录用户的键盘输入，但作为弥补这一功能的缺失，它一旦成功开始运行就不会停止，直到被清除。由于是对全部的密码输入栏下手，包括QQ、MSN在内的许多即时通讯工具和机密文件都会遭受威胁。

二、“MSN跳虫55808”（Win32.TrojDownloader.MSNBot.m.55808） 威胁级别：★

病毒进入系统后，在系统盘%WINDOWS%\system32\目录下释放出病毒文件rmbsvc.exe。随后，它修改系统注册表，将自己加入启动项，实现开机自动运行。

当运行起来，病毒会与木马种植者指定的远程服务器建立通信，当收到“确认攻击”的返回消息后，就从http://www.n**au.dk/m**ia/这个地址下载msn对话信息到IE浏览器的临时目录，然后根据对话信息里的地址，从http://www.stu**egroep***selen.nl/components这个地址下载自己的完整EXE格式程序，随机命名后存放到%WINDOWS%\Temp\，即IE浏览器的临时目录下。

接下来，病毒就搜索用户电脑中的MSN即时通讯工具，读取用户的好友列表，将压缩为ZIP格式的病毒包发送出去，实现更大规模的传染。

金山反病毒工程师建议

1.最好安装专业的杀毒软件进行全面监控，防范日益增多的病毒。用户在安装反病毒软件之后，应将一些主要监控经常打开（如邮件监控、内存监控等）、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。

2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，及时升级杀毒软件，开启防火墙以及实时监控等功能，切断病毒传播的途径，不给病毒以可乘之机。

金山毒霸反病毒应急中心及时进行了病毒库更新，升级毒霸到2008年3月6的病毒库即可查杀以上病毒；如未安装金山毒霸，可以登录http://www.duba.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816，反病毒专家将为您提供帮助。