关注恶意软件：

名称：YNK签名蠕虫（Worm.Win32.AutoRun.hjf）

大小：15.6 KB

是否加壳：否

影响的平台：WIN9X/ME/NT/2000/XP/2003/Vista/Win7

创建文件：

C:\WINDOWS\system32\imm32.dll
C:\WINDOWS\system32\imm32.dll.log
C:\WINDOWS\system32\LastTimeKey.ini
C:\WINDOWS\system32\ole.dll
C:\Program Files\Common Files\Common.exe

修改注册表：

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\load = "C:\PROGRA~1\COMMON~1\Common.exe"

行为描述：

该恶意程序含有正常的数字签名，名称为"YNK JAPAN Inc"，具有一定的迷惑性。该恶意程序会在将自身拷贝至C:\Program Files\Common Files\Common.exe，并修改注册表已达到开机加载的目的。
并且创建线程判断系统中是否有移动设备，如果发现，会将自身拷贝至移动设备中命名为RavMon.exe，创建autorun.inf指向RavMon.exe，60秒循环一次。
通过浏览器访问http://mingXXXX.com/uploadfile/down.html，记录访问者IP。访问http://hXXX.com/g01kr.exe，下载恶意程序。
创建游戏盗号木马，保存至C:\WINDOWS\system32\ole.dll
替换系统文件C:\WINDOWS\system32\imm32.dll，当调用被修改的imm32.dll时会加载恶意动态库ole.dll。
其中的：
g01kr.exe卡巴斯基检测到Trojan-GameThief.Win32.Nilage.hva
ole.dll卡巴斯基检测到Trojan-GameThief.Win32.Nilage.hvb
imm32.dll卡巴斯基检测到Trojan.Win32.FakeMS.cyd

专家预防建议:

1.建立良好的安全习惯，不打开可疑邮件和可疑网站。

2.不要随意接收聊天工具上传送的文件以及打开发过来的网站链接。

3.使用移动介质时最好使用鼠标右键打开使用，必要时先要进行扫描。

4.现在有很多利用系统漏洞传播的病毒，所以给系统打全补丁也很关键。

5.安装专业的防毒软件升级到最新版本，并开启实时监控功能。

6.为本机管理员账号设置较为复杂的密码，预防病毒通过密码猜测进行传播，最好是数字与字母组合的密码。

7.不要从不可靠的渠道下载软件，因为这些软件很可能是带有病毒的。