“神泣盗贼41256”(Win32.Troj.OnLineGames.ak.41256)，该病毒是网络游戏《神泣》的盗号木马。病毒运行后会关闭一些安全软件的进程，然后盗取游戏账号和密码等信息，并通过网页提交的方式发送到木马种植者手上。

　　“伪装下载器581560”(Win32.TrojDownloader.Delf.581560)，这是一个木马下载器。它经过一定的加壳处理，并会伪装成系统内服务与时间服务器通讯的相关文件来欺骗用户和安全软件，确保自己能够常驻系统。

　　一、“神泣盗贼41256”(Win32.Troj.OnLineGames.ak.41256)威胁级别：★

　　这是个具有一定程度对抗能力的盗号木马，目标是网络游戏《神泣》。

　　病毒进入用户电脑后，在系统盘的%WINDOWS%\system32\目录下释放出病毒文件msosfasq.dat和msosfasq00.dll，同时，在%WINDOWS%\system32\drivers\目录下释放出一个驱动文件msosmsfpfis64.sys。

　　其中，msosfasq00.dll会被写入系统注册表的启动项，帮助病毒实现开机自启动，同时，它也被用来执行盗号工作。当顺利启动后，msosfasq00.dll就会被注入系统桌面进程Explorer.exe中，查找《神泣》游戏的进程，利用监听游戏客户端与游戏服务器端通讯的办法，截获游戏帐号和密码。

　　需要提及的是，在病毒开始盗号前，病毒会利用之前释放出的驱动文件来查找并尝试强行中止金山毒霸、金山密保、360安全卫士等杀毒软件和安全辅助软件。不过经检查，对毒霸无效。

　　如果可以成功盗窃到帐号信息，病毒就悄悄连接病毒作者指定的远程地址，将赃物以网页提交的方式发送给病毒作者。给玩家造成虚拟财产的损失。

　　关于该病毒的详细分析报告，可在金山病毒大百科中查阅http://vi.duba.net/virus/win32-troj-onlinegames-ak-41256-50666.html

　　二、“伪装下载器581560”(Win32.TrojDownloader.Delf.581560)威胁级别：★

　　病毒在用户系统中会释放出四个病毒文件，分别为%WINDOWS%\System32\目录下的dnabeser.dat、a0eea5d11f.dll，以及另一个名称为9位随机字母的.dll文件。还有%WINDOWS%目录下的a092be3f20.dll。接着，病毒就修改注册表中配置时间服务器的dll文件，伪装成Windows Time W32Time服务。

　　同时，病毒会生成一个名称为4位数的随机命名文件夹，其路径为%WINDOWS%\System32\oobe\XXXX\，病毒的副本文件将以svchost.exe的名字隐藏在这里。

　　接着，病毒将自身添加到windows防火墙例外列表中，使防火墙不拦截病毒连接网络的操作。然后，它就连接到病毒作者指定的地址http://www.q***dong.cn/usersetup.asp中，读取一份下载列表，再根据里面的地址去下载其它木马等用户机器中运行。

　　当运行完毕后，病毒就利用bat文件删除自己的原始文件，清除自己作案的痕迹。不过，通过它释放出来的那些文件，依然能够发现它。

　　病毒作者为防止反病毒人员和安全软件查杀该毒，对该毒进行加壳处理，不过毒霸仍然可以查杀它。

　　关于该病毒的详细分析报告，可在金山病毒大百科中查阅http://vi.duba.net/virus/win32-trojdownloader-delf-581560-50667.html

　　金山反病毒工程师建议

　　1.最好安装专业的杀毒软件进行全面监控，防范日益增多的病毒。用户在安装反病毒软件之后，应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。

　　2.由于玩网络游戏、利用QQ等即时聊天工具交流的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，如不要登录不良网站、不要进行非法下载等，切断病毒传播的途径，不给病毒以可乘之机。

　　金山毒霸反病毒应急中心及时进行了病毒库更新，升级毒霸到2008年6月15的病毒库即可查杀以上病毒；如未安装金山毒霸，可以登录http://www.duba.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816，反病毒专家将为您提供帮助。