情人节到了，在这个浪漫的节日千万别让病毒扫了兴。近期木马风头依旧不减。记者从金山方面获得消息，网络游戏木马和广告插件病毒有上升趋势，提醒广大网友提高警惕。

    “奇迹盗号木马143360”（Win32.PSWTroj.OnlineGames.qj.143360），这是一个盗号木马，能盗取用户计算机上的网络游戏《奇迹世界》的帐号信息。病毒文件会替换游戏主程序，骗取用户通过病毒伪装的主程序登录，以截获用户的帐号和密码。

    “广告弹射器401408”（Win32.Troj.Agent.um.401408），这是一个广告木马程序变种。它会阻止安全软件向用户报告系统异常，并自动登录木马种植者指定的网页，为它们“贡献”流量。此木马还具有自动更新功能。

    一、“奇迹盗号木马143360”（Win32.PSWTroj.OnlineGames.qj.143360）  威胁级别：★

    病毒进入用户系统后，在系统盘根目录下创建一个“Recycler”文件夹，然后把病毒文件qj.exe和qj.dll释放到里面。然后搜索电脑中是否存在“瑞星”杀毒软件的进程，如果没有，就进行下一步动作。

    它搜索网络游戏《奇迹世界》的主程序“VMModule._ex”，将其改名为“SNU.exe”，并设为隐藏模式。接着，把病毒文件qj.exe复制到VMModule._ex所在的文件夹，并把它改名为“VMModule._ex”，俨然扮成游戏主程序的模样。把自己伪装成游戏主程序的好处，在于可能让用户点击病毒文件进入游戏，趁机截获用户输入的密码。

    如果这一招不灵，病毒还有留有一手。它在完成以上动作的同时，也会把qj.dll文件注入到系统桌面进程中，查找游戏进程，以内存读写的方式盗取帐号和密码。

    二、“广告弹射器401408”（Win32.Troj.Agent.um.401408）  威胁级别：★

    病毒进入电脑后，在系统盘中释放出7个病毒文件，分别是%WINDOWS%目录下的mwinsys.ini，%WINDOWS%\system32\目录下的AlxRes070826.exe，%WINDOWS%\system32\inf\目录下的scrsys070826.scr、scrsys16_070826.dll、winsys16_070826.dll和winsys32_070826.dll。如果用户电脑上设置有D盘，病毒也会在其根目录下生成一个病毒文件myplayer.com。文件释放完毕后，病毒就在系统盘根目录下生成一个myDelm.bat批处理文件，利用它将自己的原始文件删除，使用户无法查到病毒源。

    病毒修改注册表中的数据，实现开机自运行后，就立即查找目前主流的安全软件的进程，将它们的警告提示框和任务窗口全部关闭。这样，它接下去的破坏行为便可畅通无阻。

    然后，病毒悄悄连接木马种植者安排的远程服务器，下载一份网页地址列表，按其中的地址去自动登录广告网站，为它们“贡献”流量。同时，它还会从211.1*5.*0.2*8:8080这个由木马种植者指定的地址下载升级文件，实现自我更新。

    需要提及的时是，该病毒为扩大自己的传播范围，会试图利用QQ进行传播，大家应提高警惕。