金山公司反病毒监测网今日截获一例能窃取边锋游戏用户资料的木马，该木马感染后会让用户资料外泄，而且能远程控制用户机器，金山提醒您：喜爱玩游戏的“玩家”一定要提高警惕，以下是该病毒的资料：

　　病毒名称：Trojan.Benfgame.214310

　　病毒类型：木马程序

　　病毒长度：214310字节

　　危害级别：中

　　传播速度：慢

　　病毒特征：

　　病毒一旦运行后，会:

　　(1)释放出两个文件。其中一个为真正的病毒体，病毒会复制它的两个拷贝到Windows目录，命名为MSCVT2.exe和MSBFLET2.exe,复制另两个拷贝到系统目录(通常为windowssystem)，命名为MSBFSET2.exe和MSBFRUN2.exe。另一个文件是winsock控件，名字为Mswinsck.ocx，病毒会将其复制到Windows安装目录及系统目录中各一份，并注册系统目录下的那个控件。

　　(2)修改注册表HKLMSoftwareMicrosoftWindowsCurrentVersionRun，并设置键值MSBenCheck="C:WINDOWSSYSTEMMSBFRUN2.EXE"，使后门程序MSBFRUN2.EXE开机自动运行。

　　(3)修改注册表exefileshellopencommand，HKCR xtfileshellopencommand，设置其键值为"C:WINDOWSSYSTEMMSBFSET2.EXE %1"；修改注册表 HKEY_CURRENT_USERscrfileshellopencommand，HKEY_CURRENT_USERchm.fileshellopencommand，设置其键值为"C:WINDOWSMSBFLET2.EXE %1"。 这样当用户执行exe文件，scr文件及打开txt，chm文件时就会使后门程序获得运行机会。

　　(4)修改win.ini文件，并在[windows]一栏中添加一项“run=C:WINDOWSMSCVT2.EXE”，这样当用户开机时，后门程序MSCVT2.EXE也会自动运行。

　　(5)此病毒还会修改注册表中HKEY_LOCAL_MACHINESOFTWAREMicrosoftOLEEnableDCOM，HKEY_LOCAL_MACHINESOFTWAREMicrosoftOLEEnableRemoteLaunch，HKEY_LOCAL_MACHINESOFTWAREMicrosoftOLEEnableRemoteConnect的值，使用户的机器可被远程共享和远程操作。

　　(6)此病毒还会在注册表HKEY_LOCAL_MACHINESoftwareMicrosoft下建立一个新键bianfeng297，并在其下设置如下子键：mima_wenjian="zt4="，fasong_youxiang="aGFpYm9yMUAxNjMuY29t"，yonghu_ming="aGFpYm9yMQ=="，youxiang_mima="MTExMTEx"，fasong_zhuti="sd+35tPOz7fTw7unw/u6zcPcwuujoQ=="，smtp_biaozhi="ysc="，fuwuqi="c210cC4xNjMuY29t"。

　　(7)病毒一旦运行后，会首先检查释放出来的文件和注册表中的相关值是否已被删除，如已被删除，病毒会立刻复制自己为一个新的拷贝并重新生成被删除的文件和恢复注册表中被删除的项。由于开机自动运行和文件关联的病毒程序不止一个，所以即使用户删除其中一个，病毒还会立即生成新的拷贝。

　　(8)病毒释放出来的程序中含有错误，因此当用户执行被病毒关联的文件时可能会弹出错误对话框。

　　清除方法

　　清除该病毒的方法如下(步骤1,2，3必须严格按顺序进行)：

　　(1)先打开注册表编辑器，然后打开进程管理器。

　　(2)用进程管理器关掉正在运行的病毒程序，

　　(3)编辑注册表，恢复注册表中被病毒程序修改的文件关联。如exe文件的默认关联为"%1" %*，chm文件的默认关联为"%1" %*，txt文件的默认关联为Notepad %1,scr文件的默认关联为"%1" /S。

　　(4)编辑注册表中的HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun，找到键MSBenCheck并将其删除。

　　(5)删除掉病毒生成的文件，但不要删除系统目录下的那个控件Mswinsck.ocx。

　　(6)修改Windows目录下的win.ini文件，删除[windows]栏中“run=C:WINDOWSMSCVT2.EXE”。