|
||||
金山毒霸4日病毒預警:小心『PE木馬下載器102400』下載程序和『劫持者下載器397312』木馬下載程序。
『PE木馬下載器102400』(PE.ExplorerDL.c.102400),該毒是一個采用高級語言編寫的下載器程序。它會感染系統桌面文件Explorer,使自己可以在開機時跟著運行起來。然後下載其它木馬。
『劫持者下載器397312』(win32.Troj.WeHit.397312),這是一個木馬下載器程序。運行後會就破壞一些常見殺毒軟件的正常運行,然後到指定地址下載其它木馬等。它還會修改IE瀏覽器的默認頁面。
一、『PE木馬下載器102400』(PE.ExplorerDL.c.102400) 威脅級別:★這個下載器利用感染其它文件或人工發送的方式傳播。當它進入用戶電腦、且被激活後,就會立即搜索系統桌面文件explorer.exe,將其感染。當電腦再次啟動時,病毒就會隨著explorer.exe的啟動被激活,它釋放正常文件執行,並緊跟著執行自己的文件。
病毒中設置得有定時器,它每隔一段時間就檢查自身附帶的網址http://i***e0***.com/p是否可以連接。如果網絡連通,病毒就下載一份列表文件,在根據列表中的地址去下載更多其它病毒文件並執行。經毒霸反病毒工程師檢查,這些病毒都是各類網游、網銀盜竊木馬。如果進入系統運行,將可能給用戶造成財產損失。
當運行結束,病毒便生成bat文件,利用它刪除自身,銷毀作案證據。
關於該病毒的詳細分析報告,可在金山病毒大百科中查閱http://vi.duba.net/virus/pe-explorerdl-c-102400-50781.html
二、『劫持者下載器397312』(win32.Troj.WeHit.397312) 威脅級別:★★最近具有對抗殺毒軟件能力的木馬下載器又開始出現增多跡象。本篇預警播報中的病毒就是一個對抗型下載器。它和它的若乾變種頻繁出現於網絡中。
病毒進入電腦後,釋放文件ccwlae080420.exe、ccwld32_080420.dll、ccwld16_080420.dll到%WINDOWS%\system32\目錄中。如釋放成功,則在文件%WINDOWS%目錄下生成一個ccwl16.ini文件,並在其中記錄相關信息。
病毒利用映像劫持技術,修改注冊表,使目前市面上常見的多款殺毒軟件癱瘓,並加載之前釋放出的dll文件,修改IE瀏覽器的默認首頁,使得用戶在啟動IE時,會被引導到病毒作者指定的網站。同時,病毒建立遠程連接,下載大量的盜號木馬。
該毒以及它所下載的木馬,都會被毒霸完全清楚,已安裝毒霸的用戶可以放心。
關於該病毒的詳細分析報告,可在金山病毒大百科中查閱http://vi.duba.net/virus/win32-troj-wehit-397312-50782.html
金山反病毒工程師建議
1.最好安裝專業的殺毒軟件進行全面監控,防范日益增多的病毒。用戶在安裝反病毒軟件之後,應將一些主要監控經常打開(如郵件監控、內存監控等)、經常進行昇級、遇到問題要上報,這樣纔能真正保障計算機的安全。
2.由於玩網絡游戲、利用QQ等即時聊天工具交流的用戶數量逐漸增加,所以各類盜號木馬必將隨之增多,建議用戶一定要養成良好的網絡使用習慣,如不要登錄不良網站、不要進行非法下載等,切斷病毒傳播的途徑,不給病毒以可乘之機。
金山毒霸反病毒應急中心及時進行了病毒庫更新,昇級毒霸到2008年7月4的病毒庫即可查殺以上病毒;如未安裝金山毒霸,可以免費下載最新版金山毒霸或使用金山毒霸在線殺毒來防止病毒入侵。