主动防御功能曾是很多安全厂商的得意手笔，可病毒也在与时俱进。最近一种“破防盗号者98396”病毒就可以突破主动防御功能。当然，木马方面除了采取更顽固的存活方式外，在伪装上也下足了功夫。木马下载者能够变身Skype程序，让用户难分真假。

    “破防盗号者98396”（Win32.Troj.OnlineGamesT.nr.98396），这是一个盗取多款网游密码的盗号木马。该木马会突破杀毒软件的主动防御，关闭杀毒软件进程。注入游戏进程，从中读取游戏玩家的帐号信息，然后发送给木马种植者。
 
    “木马下载者959488”（Win32.Troj.DownLoaderT.xy.959488），该木马伪装成Skype的安装程序，运行后，复制自身到系统文件夹，在注册表中添加Browser Helper Objects(BHO)项，在系统启动后随Exporer.exe启动，通过DLL注入到Explorer.exe，在网络可用时下载大量木马病毒，下载的木马病毒等会破坏用户系统并盗取信息。

    一、“破防盗号者98396”（Win32.Troj.OnlineGamesT.nr.98396）  威胁级别：★★

    病毒进入用户的电脑系统后，在系统盘中释放出两个病毒文件，分别为%WINDOWS%\system32\下的naijoad.dll和%WINDOWS%\system32\drivers\目录下的msacpe.sys。接着，它修改注册表中的相关数据，使自己可以在开机后自动运行。

    病毒释放出的文件各有分工。其中，Msacpe.sys在运行后会查找目前电脑上安装的杀毒软件，并帮助病毒突破杀毒软件的主动防御，而naijoad.dll被注入到系统的每个进程，搜索作案对象。它的作案对象是《奇迹世界》，《魔兽世界》，《大话西游》等多款网络游戏。

    当病毒运行起来后，它就会读取配置文件，并根据配置文件中的信息不断注入进程，搜索并盗取游戏的帐号，最后发送盗取的信息到木马种植者指定网站，给游戏玩家造成虚拟财产的损失。
   
    二、“木马下载者959488”（Win32.Troj.DownLoaderT.xy.959488）  威胁级别：★

    病毒进入电脑系统后，会在系统盘中释放出4个病毒文件，分别是%WINDOWS%目录下的akbsertts.dll，以及%WINDOWS%\system32\目录下的esjok.ini、skype.exe、xjlclzvskvwde.dll。随后，它修改注册表中的相关数据，将自己设置为随系统启动而启动。

    该木马的主程序文件名skype.exe与Skype的程序同名，而且它在注册表中添加自己时，是伪装成Browser Helper Objects(BHO，简单地说，是IE浏览器的一种第三方协议技术)项。这样，就具备一定的迷惑性，容易骗过用户。

    当它随系统桌面进程Exporer.exe启动后，就会注入到Explorer.exe，利用该进程空间运行自己，以避免被用户发现。然后就在网络可用时连接木马种植者指定的远程服务器http://www.e-**k.cn，下载大量其它病毒，而这些病毒会破坏用户系统，并盗取敏感信息，给用户造成无法估计的损失。