一、“黑客遙控器9728”(Win32.Hack.PcClient.9728) 威脅級別：★
    病毒進(jìn)入系統(tǒng)后，在系統(tǒng)盤根目錄下釋放出5個病毒文件，分別為%WINDOWS%下的0004bb58.inf和另外三個隨機命名的.dll、.KEY、.sco格式文件，以及%WINDOWS%\drivers\目錄下的一個.sys文件。然后，它修改注冊表系統(tǒng)項，將自己的相關(guān)數(shù)據(jù)加入其中，使自己達(dá)到隨系統(tǒng)啟動而啟動之目的。
    為了避免用戶的發(fā)現(xiàn)，病毒會將自己偽裝為名為“rtltvb”的WINDOWS系統(tǒng)的服務(wù)進(jìn)程，如果用戶注意檢查其屬性，可發(fā)現(xiàn)它的描述為：“Microsoft .NET Framework TPM”，路徑為“%sys32dir%\svchost.exe -k rtltvb”，偽裝得還真像!
    如果得以順利運行，病毒就會讀取注冊表中關(guān)于代理服務(wù)器的數(shù)據(jù)，從而掌握用戶的代理服務(wù)器地址。然后，它嘗試在后臺悄悄創(chuàng)建多個線程，與黑客指定的遠(yuǎn)程服務(wù)器2*1.2*7.17.2*6建立通訊，隨時等待接受黑客的指令，使得用戶的計算機完全處于黑客的控制之下。
    二、“網(wǎng)游盜號木馬14452”(Win32.Troj.AgentT.fm.14452) 威脅級別：★
    病毒進(jìn)入用戶的電腦系統(tǒng)后，在系統(tǒng)盤中釋放出4個病毒文件，分別為%WINDOWS%\system32\目錄下的avwgein.dll、avwgemn.dll、avwgest.exe，以及%WINDOWS%\Fonts\目錄下的msguasd.fon。隨后，它修改注冊表，將自己相關(guān)數(shù)據(jù)寫入其中，達(dá)到隨系統(tǒng)啟動而啟動之目的。
    當(dāng)開始運行后，病毒首先會在系統(tǒng)盤中搜索windows系統(tǒng)的第KB908531項安全補丁文件verclsid.exe，發(fā)現(xiàn)后立刻將它刪除。接著，病毒不斷注入當(dāng)前已啟動的進(jìn)程中，并自動判斷注入的進(jìn)程是否為ElementClient.exe這一項，如果是，就立刻展開監(jiān)控程序，截獲用戶的帳號和密碼等數(shù)據(jù)。
    順利得手后，病毒就在用戶無法察覺的情況下建立遠(yuǎn)程連接，把盜取所得的帳號信息發(fā)送至http:/ /www.3**678.cn/x**q/97wg/post這個由木馬種植者指定的接收網(wǎng)址，給用戶造成虛擬財產(chǎn)的損失。由于ElementClient.exe這一名稱被《武林外傳》、《完美世界》、《誅仙》等多款網(wǎng)絡(luò)游戲采用，因此，該病毒的影響面積也較大。
    金山反病毒工程師建議
    1.安裝專業(yè)的殺毒軟件進(jìn)行全面監(jiān)控，防范日益增多的病毒。用戶在安裝反病毒軟件之后，應(yīng)將一些主要監(jiān)控經(jīng)常打開(如郵件監(jiān)控、內(nèi)存監(jiān)控等)、經(jīng)常進(jìn)行升級、遇到問題要上報，這樣才能真正保障計算機的安全。
    2.由于玩網(wǎng)絡(luò)游戲、利用QQ聊天的用戶數(shù)量逐漸增加，所以各類盜號木馬必將隨之增多，建議用戶一定要養(yǎng)成良好的網(wǎng)絡(luò)使用習(xí)慣，及時升級殺毒軟件，開啟防火墻以及實時監(jiān)控等功能，切斷病毒傳播的途徑，不給病毒以可乘之機。