|
||||
『劫匪下載器32256』(Win32.TrojDownloader.Banload.32256),這是一個病毒下載器程序。它會通過映像劫持Windows自動昇級管理程序來實現自動運行,然後在後臺悄悄執行病毒下載程序。
『偽裝殺手下載器18944』(Worm.Delf.el.18944),這是一個病毒下載器。它從指定的網址讀取下載列表,再根據列表中的地址去下載其它病毒文件,保存至本地執行。為提高傳播速度,該毒還在各磁盤分區下生成AUTO病毒。同時,它也具備對抗部分殺毒軟件的能力。
一、『劫匪下載器32256』(Win32.TrojDownloader.Banload.32256)威脅級別:★在昨日統計到的最新病毒流行數據中,下載器再一次成為傳播趨勢較高的病毒,而且他們的運行方式也更加多樣化。
此篇預警中的就是一個病毒下載器。毒霸反病毒工程師檢測後發現,該毒可利用捆綁文件和網頁掛馬的方式進行傳播,它在進入用戶後,和其它的許多下載器一樣,都是先釋放出自身的病毒文件。它的文件分別為%WINDOWS%\system32\目錄下的tyt.dll和%ProgramFiles%\Internet Explore\目錄下的IEXPLORER.exe。
與大多數通過添加注冊表啟動項實現運行的病毒不同,這個病毒士通過映像劫持Windows自動昇級管理程序Wuauclt.exe來達到開機自動運行之目的。當成功運行起來,病毒進程就會在後臺連接病毒作者指定的地址http://7**69.com/ ,下載其它病毒文件到用戶電腦中執行。
此外,毒霸反病毒工程師發現,該毒具有自我更新功能。它在下載病毒的同時,還會不斷進行在線檢測,更新自己為最新版本。
二、『偽裝殺手下載器18944』(Worm.Delf.el.18944)威脅級別:★這個病毒一旦進入用戶的電腦,便會搜索所有的磁盤分區,查看是否有殺毒軟件卡巴斯基的驅動文件klif.sys,如有,則立即修改系統時間為1981-01-12,讓卡巴斯基失效。
接著,它在%WINDOWS%\system32\目錄下釋放出主文件Transfer Sebvice.exe,並修改系統注冊表,將該文件的數據加入啟動項,達到開機自啟動之目的。此處需要注意一點,病毒為迷惑用戶,會將自己偽裝成『360安全設置』的項目。如果用戶沒有安裝過該工具,卻在系統注冊表中發現這個數據,那就可能是中了此毒。
下一步,病毒會從病毒作者指定的網址http:/ /xxx.ad***5.com/txt071217,讀取一份下載列表,根據列表中的地址去下載更多其它病毒,保存到%WINDOWS%\system32\文件夾下運行。
最後,為擴大自己的傳播范圍,病毒在每個磁盤分區的根目錄下生成AUTO文件autorun.inf和Transfer Sebvice.exe ,只要用戶雙擊含毒磁盤或在中毒電腦上使用U盤等移動存儲器,病毒就會傳染上去。
金山反病毒工程師建議1.最好安裝專業的殺毒軟件進行全面監控,防范日益增多的病毒。用戶在安裝反病毒軟件之後,應將一些主要監控經常打開(如郵件監控、內存監控等)、經常進行昇級、遇到問題要上報,這樣纔能真正保障計算機的安全。
2.由於玩網絡游戲、利用QQ聊天的用戶數量逐漸增加,所以各類盜號木馬必將隨之增多,建議用戶一定要養成良好的網絡使用習慣,及時昇級殺毒軟件,開啟防火牆以及實時監控等功能,切斷病毒傳播的途徑,不給病毒以可乘之機。