|
||||
5月8號:『桌面潛伏下載者95744』(Win32.RiskWare.AgentT.n.95744),這是一個木馬下載器程序。它會修改系統桌面文件explorer.exe,將自己隱藏在裡面運行。同時它還具備自我更新和自我刪除的功能。
『PPStream漏洞下載器9078』(JS.Downloader.gb.9078),這是一個下載器程序。它是一個腳本病毒,會利用PPStream(PPS網絡電視)的漏洞進行下載活動。
一、『桌面潛伏下載者95744』(Win32.RiskWare.AgentT.n.95744)威脅級別:★與大部分在AV終結者之後誕生的下載器一樣,毒霸反病毒工程師此次捕獲的這個病毒下載器也具有一定的對抗安全軟件能力。它進入系統後,立即檢測進程列表是否存在『貝殼磁盤保護系統』的進程BKPCLIENT.EXE和MENU.EXE,若有則將它們強行結束。
接著,病毒復制%WINDOWS%目錄下的系統桌面進程文件explorer.exe到%WINDOWS%\System32\目錄下,並往原始的explorer.exe裡寫入自己的病毒代碼,再將其復制到%WINDOWS%目錄下,更名為svchost.exe。
完成以上步驟後,病毒就啟動這個svchost.exe文件,利用它來調用正常的explorer.exe,實現隱蔽的運行。如果成功運行起來,它就能夠連接病毒作者指定的地址,下載病毒文件列表,再根據列表裡的地址去下載更多其它病毒文件運行,引發更大的破壞。
同時,該病毒具有自我更新和自我刪除的功能,它會自動下載更新配置文件,並在運行完成後刪除自己的原始文件,以免用戶發現電腦中出現多餘的東西。
二、『PPStream漏洞下載器9078』(JS.Downloader.gb.9078)威脅級別:★利用第三方軟件的漏洞進行病毒下載,要比直接對抗安全軟件來得容易。因此,有相當數量的病毒下載器是針對第三方軟件制作的。
此篇預警播報中的病毒,利用的是PPStream(PPS網絡電視)的漏洞。它利用網頁掛馬、捆綁視頻文件的方法混進用戶電腦,然後查看用戶安裝的PPStream中,是否含有2.0.1.3829版本的PowerPlayer.dll文件。如果確定是該版本,病毒就會制造溢出事件。
所謂溢出,簡單來說,就是指某類數據流量超過系統中負責處理該類數據的空間所能存儲的容量,就好像水從池子中漫出一樣,擴散到了其它區域。這樣一來,就會引起系統異常,如果病毒在溢出數據中做了手腳,那麼就能夠趁機執行這些操作。
這個病毒在制造溢出事件後,就能夠悄悄連接http://exe.x****ankl.com/這個由病毒作者指定的遠程地址,下載其它病毒到用戶電腦中運行,引起無法估計的更大損失。
金山反病毒工程師建議1.最好安裝專業的殺毒軟件進行全面監控,防范日益增多的病毒。用戶在安裝反病毒軟件之後,應將一些主要監控經常打開(如郵件監控、內存監控等)、經常進行昇級、遇到問題要上報,這樣纔能真正保障計算機的安全。
2.由於玩網絡游戲、利用QQ聊天的用戶數量逐漸增加,所以各類盜號木馬必將隨之增多,建議用戶一定要養成良好的網絡使用習慣,及時昇級殺毒軟件,開啟防火牆以及實時監控等功能,切斷病毒傳播的途徑,不給病毒以可乘之機。