【简 介】
“对抗型广告木马397312”(Win32.Troj.Agent.ll.397312),这是一个广告木马。它在进入用户系统后,会破坏部分安全软件的正常运行,然后修改系统注册表,频繁弹出广告页面,干扰用户的正常上网,并浪费用户的流量资源。
|
|
|
|
|
4月28日:“对抗型广告木马397312”(Win32.Troj.Agent.ll.397312),这是一个广告木马。它在进入用户系统后,会破坏部分安全软件的正常运行,然后修改系统注册表,频繁弹出广告页面,干扰用户的正常上网,并浪费用户的流量资源。
“核桃壳下载器44032”(Win32.TrojDownloader.Homles.bh.44032),这是一个木马下载器程序。它会在用户无法知晓的情况下,从病毒作者指定的服务器下载盗号木马等病毒。并且它还具有干扰查杀和自我更新的功能。
一、“对抗型广告木马397312”(Win32.Troj.Agent.ll.397312) 威胁级别:★
这个病毒是一个广告木马,如果能顺利运行起来,就会弹出大量广告页面,骗取用户点击或刷流量。这一做法和大多数广告木马无异,但它给用户带来的真正麻烦是会关闭一些安全软件的进程,造成电脑丧失防御能力,从而给其它病毒的入侵提供机会。
经毒霸反病毒工程师分析,该毒可通过网页挂马、捆绑文件、以及下载器下载等方式进行传播。它进入用户电脑后,会立刻修改系统时间为1987年,造成卡巴斯基等依赖系统时间进行激活和升级的安全软件瘫痪。并紧接着搜索系统中正在运行的进程,如果发现江民、瑞星、360安全卫士等安全软件的进程,就将它们关闭。在此过程中,如过安全软件试图弹出询问提示框,病毒就会抢在窗口显示出来之前,模拟用户操作的信号点击允许选项。
接下来,病毒就搜寻IE浏览器的模块,注入其中,并修改系统注册表选项,将自己设置为可随着IE浏览器一同启动。这样,当用户使用IE浏览器时,病毒就能随机弹出病毒作者指定的广告窗口,造成用户误点击,达到为这些广告网站“贡献”网络数据流量之目的。在这个过程中,如果用户安装有“雅虎助手”等IE辅助工具,病毒会阻止这些工具向用户报告IE异常,以便长久地在系统中呆下去。
此外,该毒具有自我更新的能力,如果它进入用户系统时,发现系统中有自己以前的版本,就会进行自动更新,并于运行结束后删除自己的原始文件。病毒每次更新的病毒文件共有四个,分别是%WINDOWS%\system32\目录下的ccwlae_080419.exe、ccwld32_080419.dll、ccwld16_080419.dll,以及%Common Startup%目录下的msword.lnk。
二、“核桃壳下载器44032”(Win32.TrojDownloader.Homles.bh.44032) 威胁级别:★★
这是一个原理普通的木马下载器,为了对抗安全软件的查杀,病毒作者给它设置了多层加壳,并故意加入大量垃圾代码,不过毒霸依然可以对它进行查杀。
病毒进入系统后,在系统盘的%WINDOWS%目录下释放出病毒文件mrofinu.exe,并在注册表下添加病毒版本等信息。随后,病毒会根据这些信息判断自身是否是最新版本,如不是新版本,则到地址http://pmg73.a1.wrs.*****.com/下载新版本运行。
在运行的后期,病毒悄悄连接病毒作者指定的远程服务器http://wr.*****.com/retadpu.php?,读取一份病毒下载列表,然后根据列表中的地址下载更多其它病毒到用户电脑里运行。
金山反病毒工程师建议
1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。
【责任编辑 王凡】
|
|
|
 焦点文章
| | |
|
|
相关文章
|
