前一阶段,卡巴斯基出现了“李鬼”事件,近日从金山方面得到消息,一种“kav2007伪装下载者”的病毒伪装成毒霸2007,频繁的伪装成安全软件让我们感到木马的保护措施越来越隐蔽,望广大网友引起注意。
“kav2007伪装下载者”(Win32.Hack.Agent.ys.1835005),这是一个AUTO病毒。病毒运行成功后,会立即关闭许多著名杀软的监控,并以优越的伪装性诱惑用户上当。其图标和文件名看上去是毒霸的执行文件,实际上却在暗中进行破坏。它令中毒的用户无法打开磁盘分区的盘符,并自动下载包括盗号木马在内的大量其它病毒。
病毒进入系统后,会在系统盘中释放出伪装成“毒霸2007”执行文件的病毒文件KAV2007.EXE,该文件一式两份,分别位于%Program Files%\Common Files\Microsoft Shared\目录和%WINDOWS%\system32\目录下。
紧接着,病毒在各磁盘分区中生成AUTO病毒,分别为kav2007.exe和autorun.inf辅助文件,只要用户双击进入该盘,病毒就会二次触发。如果用户在中毒电脑上使用U盘等移动存储器,且未关闭自动运行功能,病毒就会立即将移动设备传染,扩大自己的传播范围。用户如果进入到安装毒霸的磁盘分区,会看到有两个毒霸图标的文件,一个是无隐藏属性、无后缀的KAV2007,另外一个是kav2007.exe,前者是真正的毒霸文件,后者则是AUTO病毒源。
当病毒开始运行后,它会迅速将电脑中已安装的著名杀软厂商的产品强行关闭,如卡巴斯基等。然后悄悄建立远程连接,从病毒作者指定的网络地址下载其它病毒。在它下载的病毒中,有一些是针对游戏、通讯软件盗号木马,会造成用户虚拟财产的损失。
当机器重启后,含有AUTO病毒的盘符将无法再度打开,强制点击只会触发更多次的AUTO病毒。随着进入的病毒越来越多,用户系统将遭到无法估计的更大破坏。
责任编辑:封小明
