“涂改者234496”(Win32.Troj.Hider.i.234496),这是一个恶作剧程序,复制自身到系统目录,设置自身为系统隐藏文件,并通过添加到系统服务方式随系统启动。该程序会修改系统文件夹选项中的“显示隐藏文件”部分来保护自身,并且修改exe文件的关联方式。
“ARP下载者102400”(Win32.Troj.Downloader.yl.102400),这是一个具有ARP 欺骗的下载者病毒,在下载病毒到本地运行的同时还生成大量AUTO病毒文件。该病毒还具有具有映象劫持功能,可以对一些安全工具和调试分析软件进行拦截,并不断改写注册表破坏安全安全模式,阻止用户修复系统。
一、“涂改者234496”(Win32.Troj.Hider.i.234496) 威胁级别:★
这是个恶作剧病毒,进入系统后,它会在%\WINDOWS%\system32\目录下释放出isass.exe病毒文件,并修改注册表系统服务项,将自己的相关信息加入其中,达到随系统自动启动之目的。同时,它会把自己在系统文件夹中的显示模式修改为“隐藏”,跟用户玩起捉迷藏。接着,它修改系统中exe文件的属性信息,用户如果查看属性,可以发现exe文件全被解释为“File Folder(文件夹)”,除此之外,不会对用户系统造成别的影响。此病毒虽然无明显危害,但由于它会把隐藏文件设为不可见,因此还是对用户正常使用电脑造成一定影响。
二、“ARP下载者102400 ”(Win32.Troj.Downloader.yl.102400) 威胁级别:★★
病毒进入系统后,会释放出5个病毒文件,分别为%WINDOWS%\system32\Com\目录下的SMSS.EXE、netcfg.dll、netcfg.000,以及%\WINDOWS%\system32\drivers\目录下的alg.exe目录下,还有释放出%\WINDOWS%\system32\下的dnsq.dll。同时还在在所有的磁盘根目录下生成自己的副本 pagefile.pif 及 AUTORUN.INF 文件,如果用户双击进入受感染磁盘,病毒就会被再次激活。此后,只要用户在此台电脑上使用U盘等移动存储器器,病毒就会立刻传染上去。病毒还将自己拷贝到%WINDOWS%\system32\Com\目录下,更名为 LSASS.EXE,并释放并运行病毒文件SMSS.EXE 和 ALG.EXE ,由于病毒的进程名和系统的 LSASS、SMSS 进程名相同,任务管理器将无法结束它。该病毒会修改注册表,禁用显示隐藏文件选项,使隐藏文件无法被显示,并破坏系统安全模式的相关数据,使用户无法启动安全模式。它还会不断修改注册表,这会使得部分安全工具无法成功修复安全模式。该病毒具有映象劫持功能,可以破坏许多常用安全工具和调试分析软件的正常运行,如果它发现自己无法解决安全软件,就会像耍无赖一样将电脑强制关机。最后该病毒悄悄建立远程连接,从http://w.c**o.com/*.htm 和http://j*.k***2.com/g*.asp这两个黑客指定的地址下载恶意脚本执行。此外,之前生成的alg.exe 是个ARP 病毒,它会利用 WinPcap 来收发网络包,对整个局域网内的所有 IP 进行攻击,给网络中的所有用户造成影响。
金山反病毒工程师建议
1.最好安装专业的杀毒软件进行全面监控。建议用户安装反病毒软件防止日益增多的病毒,用户在安装反病毒软件之后,应该经常进行升级、将一些主要监控经常打开(如邮件监控、内存监控等),遇到问题要上报, 这样才能真正保障计算机的安全。
2.玩网络游戏、利用QQ聊天的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。
本篇文章来源于 安全中国-全球最大中文黑客门户。
责任编辑:封小明
