“网游盗号木马165969”（Win32.PSWTroj.OnlineGames.kl.165969），该木马是针对网络游戏《魔域》和“浩方”对战平台的盗号木马。病毒运送行后会衍生病毒文件至系统目录下，并创建服务以达到自启动的目的，然后注入游戏进程窃取帐号密码。

　　“间谍感染虫151552”（Worm.AutoRun.al.151552），这是一个用Delphi编写的最新logogo变种。病毒运行后会释放病毒文件至系统文件夹和每个硬盘根目录，劫持大部分杀毒软件及安全工具。病毒会感染硬盘中几乎所有exe文件，然后收集用户计算机名，操作系统版本，MAC地址等信息等，发送至远程网址，统计中毒者人数。另外，病毒还尝试从网络下载大量恶意程序安装至本地计算机。

　　一、“网游盗号木马165969”（Win32.PSWTroj.OnlineGames.kl.165969） 威胁级别：★

　　病毒进入电脑后，释放出三个病毒文件，分别为%WINDOWS%目录下的TIMHost.exe，以及%WINDOWS%system32目录下的SVKP.sys和TIMHost.dll，然后修改注册表启动项，把自己主文件TIMHost.exe的相关数据写入其中，实现开机自启动之目的。

　　病毒运行后，在系统中查找网络游戏《魔域》和“浩方”对战平台的进程，如果发现，就把DLL文件加载到其中，利用读取内存的方式盗取用户的账号信息。

　　如成功得手，病毒就在用户无法察觉的情况下建立远程连接，通过网页提交的方式把相关信息发送到木马种植者指定的网址http://www.x*****520.com/zhanggui3/lin1.asp，给用户造成虚拟财产的损失。

　　二、“间谍感染虫151552”（Worm.AutoRun.al.151552） 威胁级别：★★

　　如果病毒顺利进入了用户系统，它会在系统盘的%WINDOWS%Fontssystem目录下释放出病毒主文件ati2evxx.exe，并在全部磁盘分区的根目录下生成AUTO病毒文件ntldr.exe和autorun.inf。只要用户在中毒电脑上使用U盘等移动存储设备，病毒就会立即将其传染。

　　文件释放完毕后，病毒修改系统注册表启动项中的相关数据，使自己实现开机自启动。当它运行起来，就迅速查找并劫持已安装的安全软件，造成它们失效，几乎所有著名安全软件都在它的“黑名单”中。而被解除武装的电脑，会很容易受到外部恶意程序的攻击。

　　接着，病毒搜索并感染电脑上的EXE文件，除系统目录、QQ聊天软件，以及少数游戏程序漏网之外，几乎所有EXE文件都会被感染。它会向被感染的文件中新增.ani节，并修改入口点为病毒的代码起始位置，被感染文件运行后会释放一个名为ani.ani的临时文件并运行，然后使用ani.ani.bat删除自身，使得用户无法找到病毒源。

　　完成以上步骤后，病毒就开始收集用户计算机名字和网卡物理地址等信息，发送至木马种植者指定的远程网址http://i*2.3**86.com，并统计中毒者人数。同时，它还尝试连接hxxp://m.8q8.xxx、hxxp://a.9gg.xxx、hxxp://f.935425.xxx等多个由木马种植者指定的地址，下载更多恶意程序至用户计算机。

　　金山反病毒工程师建议

　　1.最好安装专业的杀毒软件进行全面监控，防范日益增多的病毒。用户在安装反病毒软件之后，应将一些主要监控经常打开（如邮件监控、内存监控等）、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。

　　2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，及时升级杀毒软件，开启防火墙以及实时监控等功能，切断病毒传播的途径，不给病毒以可乘之机。

　　金山毒霸反病毒应急中心及时进行了病毒库更新，升级毒霸到2008年2月25的病毒库即可查杀以上病毒；如未安装金山毒霸，可以登录http://www.duba.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来8止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816，反病毒专家将为您提供帮助。