“木马下载器36864”( Win32.Troj.Downloader.ab.36864),该木马为一个下载者木马,运行后会将自身改名为1sass.exe并复制到系统的system目录,然后删除自身。1sass.exe会将自己添加为系统服务,然后以服务的方式运行。该服务运行之后会首先从指定网址下载一个病毒列表的文本,然后对照该文本中的网址下载木马并运行,跟踪发现该木马下载的为一个远程控制软件,当该软件安装并运行之后,黑客可以完全控制用户的电脑。
“广告弹射器499712”(Win32.Adware.Boran.bu.499712),这是一个广告软件程序。该病毒运行后,注册为系统服务,从网络上下载文件,根据下载的文件中的内容,弹出IE显示指定的广告网页。
一、“木马下载器36864”( Win32.Troj.Downloader.ab.36864) 威胁级别:★★
病毒进入用户系统后,把自己的病毒文件1sass.exe复制到系统盘的%WINDOWS%\system\目录下,然后建立一个名为afc9fe2f418b00a0.bat的批处理文件,通调用该批处理来删除病毒原始文件,在删除掉原始文件后,这个批处理文件也会自我删除,使得用户即便发现系统异常,也无法找到病毒源。
随后,病毒擅自修改系统注册表,将自身注册为系统服务,以便能在用户每次开机时自运行。如果得以顺利运行起来,病毒就会悄悄会连接木马作者指定的网站http://nb.**33**.com/list.txt,下载一份病毒列表,然后根据该列表中的网址下载其它的木马,并立即激活运行。
被下载的木马为一个远程控制软件,如果它被激活,就会制造后门,并自动连接到远程黑客服务器,使得黑客可以完全控制用户的电脑,为所欲为。
二、“广告弹射器499712”(Win32.Adware.Boran.bu.499712) 威胁级别:★
病毒进入用户电脑系统后,在系统盘的%ProgramFiles%\winp\目录下释放出5个病毒文件,分别为code.dll、play.dll、snet.dll、stub.dll、vote.dll。然后,病毒修改注册表,建立系统服务,让自己能在系统启动后随着系统进程svchost.exe程序一同运行起来,达到自动启动之目的。
随后,病毒在用户无法知晓的情况下建立远程连接,从http://www.b**la*der.com.cn、http://up**te.b**la*der.cn等多个地址下载病毒文件。
当这些病毒文件进入电脑后,病毒就会读取其中的数据,然后自动弹出IE浏览器窗口显示木马作者指定的广告网页,诱使用户点击里面的内容,为这些广告站点“贡献”出流量。而由于广告网站比较容易被挂马,因此用户还会面临遭受恶意入侵的威胁。
金山反病毒工程师建议
1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。
金山毒霸反病毒应急中心及时进行了病毒库更新,升级毒霸到2008年1月20的病毒库即可查杀以上病毒;如未安装金山毒霸,可以登录http://www.duba.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816,反病毒专家将为您提供帮助。
(责任编辑:封小明)
