毒霸1月16日预警：伪装下载者下载大量病毒

    “伪装下载者65536”（Win32.Riskware.wmicsmgr.b.65536），这是一个木马下载者程序。该病毒运行后，注册为浏览器帮助插件。它会在后台利用IE浏览器的进程空间来运行病毒代码，然后连接远程病毒站点，下载其它病毒程序到用户电脑中运行。

    “QQ幻想盗号者16244”（Win32.PSWTroj.OnlineGames.16244），该病毒是针对网络游戏《QQ幻想》的一个盗号木马。它运行后会衍生病毒文件至系统目录下，然后注入游戏进程，伺机窃取玩家的帐号密码等信息。

    一、“伪装下载者65536”（Win32.Riskware.wmicsmgr.b.65536） 威胁级别：★★

    病毒进入系统后，在系统盘的%WINDOWS%\system32\目录下释放出病毒文件wmicsmgr.dll。需要注意的是，此病毒文件的文件名与WINDOWS系统自带的一个DLL文件名很相似，但正常的文件名为wmiscmgr.dll，而不是wmicsmgr.dll。

    随后，病毒修改注册表，把自己的相关数据写入启动项中。它添加的启动项名称是wmicsmgr，注册为“浏览器帮助插件”，试图以此欺骗用户。当资源管理器或IE浏览器启动时，病毒就会随之加载运行起来。

    当病毒被加载后，它就会在后台利用IE浏览器的进程空间来运行自己。这样做的好处是用户不容易发现系统中出现多余的进程。如果成功运行起来，病毒就会连接到木马种植者指定的地址http://www.o*3*6.com/，获取最新的病毒下载地址，然后根据这些地址去下载更多的病毒程序到用户电脑中运行，给用户造成无法估计的更大损失。

    二、“QQ幻想盗号者16244”（Win32.PSWTroj.OnlineGames.16244） 威胁级别：★

    病毒进入用户系统后，在系统盘中释放出两个病毒文件，分别为%WINDOWS%目录下的MsPrint32D.exe和%WINDOWS%\system32\目录下的MsPrint32D.dll。然后，修改注册表启动项，使自己以后都可以随着系统启动而自动运行。

    完成以上步骤，病毒便执行一个自删除命令，把自己的原始文件删除，使用户不容易发现电脑里出现了多余的文件。

    病毒顺利运行起来后，会把之前生成的MsPrint32D.dll文件注入到系统桌面进程Explorer.exe中，通过读取内存的方式盗取用户的账号和密码等信息。一旦得手，就立即在用户无法知晓的情况下建立远程连接，把偷得的信息以网页提交的形式发送到木马种植者指定的网址“http://www.****.com//xiaoxiao/wu/req.asp”，给用户造成虚拟财产的损失。（金山毒霸官网）

    拒之门外!“流行”的魔兽盗号木马防范

    教你练就"火眼金睛" 周密防范邮件病毒入侵

    电脑中毒后的一些表现及其中毒诊断

    全球十大计算机病毒排名 CIH病毒居首

    wuauclt.exe病毒解决方案