【简 介】
“仿真机器狗”(Win32.Troj.Downloader.ns.25088),这是一个类似于机器狗的木马下载器程序。它的行为与年初时曾流行的机器狗病毒类似,都是破坏安全软件和系统安全模块后执行病毒下载行为。不过,由于此毒是一个半成品,因此只会破坏电脑的安全系统,而无法执行下载。
|
|
|
|
|
5月12日:“色情伪装下载器208896”(Win32.Troj.Agent.208896),这是一个木马下载器程序。它会自动调用IE浏览器,下载大量病毒到用户机器上,同时还会擅自登录Google页面搜索色情视频,让用户以为它是个色情广告软件。
“仿真机器狗”(Win32.Troj.Downloader.ns.25088),这是一个类似于机器狗的木马下载器程序。它的行为与年初时曾流行的机器狗病毒类似,都是破坏安全软件和系统安全模块后执行病毒下载行为。不过,由于此毒是一个半成品,因此只会破坏电脑的安全系统,而无法执行下载。
一、“色情伪装下载器208896”(Win32.Troj.Agent.208896) 威胁级别:★
这个木马下载器很狡猾。它自带得有搜索功能,一旦顺利运行起来,便会调用IE浏览器登录Google的搜索页面,搜索色情视频。这时,用户会以为它是个色情广告软件,最多删除该程序本身,却不知道它已经下载到电脑里的其它病毒。
病毒在进入系统后,释放出的病毒文件非常之多,难以一一列举,不过它的主文件名为smp.bat,被释放到系统盘根目录下,该文件会自动连接网络,从病毒作者指定的地址下载多份病毒列表,然后根据其中的地址去下载更多其它病毒。在这个过程中,它就弹出色情视频的搜索窗口,麻痹用户。
毒霸反病毒工程师检查病毒信息后发现,该病毒主要利用网页挂马来进行传播。因此用户在上网时最好是将网镖等计算机防火墙打开,并且不要随意登录不良网站,以免感染该毒。
二、“仿真机器狗”(Win32.Troj.Downloader.ns.25088) 威胁级别:★★
这个下载器很明显是仿照机器狗来制作的。它开始运行后,首先删除注册表中一些免疫机器狗病毒工具的启动信息,破坏目前已有的各类机器狗专杀工具的运行,并修改系统时间为2003年,让依赖系统时间进行激活和升级的杀毒软件失效。
接着,它在系统盘的%windows%\system32\drivers\目录下释放文件7.tmp(注意,文件名是随机生成的),并将它注入到系统桌面进程中,修改桌面进程的数据,将其变为自己的傀儡,以便执行下一步的操作。
病毒继续运行,它搜索并替换掉所有用户对系统目录的完全控制权限,让用户完全失去对自己电脑的控制,这样一来,就能阻止用户进行手动查杀。最后,病毒在“c:\temp\”目录下释放出另一个随机命名的.tmp格式文件运行,试图连接网络执行下载。
根据毒霸反病毒工程师的分析,由于病毒本身功能设计的问题,下载行为无法实现。但不排除病毒作者会在下一个变种中进行改进的可能。因此,对该毒需要特别注意。
金山反病毒工程师建议
1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。
【责任编辑 王凡】
|
|
|
 焦点文章
| | |
|
|
相关文章
|
