"黑客木馬下載器1367552"偽裝為系統服務

「黑客木馬下載器1367552」（Win32.Troj.DownLoader.se.1367552），這是一個下載者木馬，運行後會從指定網址下載一個病毒列表的文本，然後對照該文本中的網址下載木馬並運行。經毒霸反病毒專家跟蹤分析，被下載的木馬是一個遠程控制軟體，如果該軟體被安裝並運行，黑客可以完全控制用戶的電腦。

「感染蟲下載器1097504」（Win32.VB.za.1097504），這是一個感染型病毒。病毒會將正常文件附加在自己末尾，當用戶運行被感染的程序時，病毒會連接到網絡下載病毒，同時將正常文件以隱藏的系統屬性釋放到當前目錄運行。這樣，用戶就會以為程序是正常的。

一、「黑客木馬下載器1367552」（Win32.Troj.DownLoader.se.1367552） 威脅級別：★★

該木馬運行後，讀取資源，釋放病毒文件1sass.exe到%WINDOWSt%/system/目錄，並立即啟動該文件。然後創建一個批處理文件刪除自己的原始文件，讓用戶以後即便發現電腦異常也找不到毒源。

隨後，病毒將1sass.exe以系統服務的名義添加到系統註冊表中，騙過用戶的注意，同時讓自己實現開機自動運行之目的。

如果病毒服務得以啟動，它會連接黑客網站http://nb.******.com/list.txt下載一份記錄有病毒列表的文本文件，根據該列表中的網址下載其它的木馬到用戶電腦上運行。經過毒霸反病毒專家的分析，發現被下載的木馬是一個遠程控制軟體，如果該木馬被順利安裝，黑客就可以完全控制用戶的電腦，進行任何他想要的操作。

二、「感染蟲下載器1097504」（Win32.VB.za.1097504） 威脅級別：★

病毒進入電腦後，迅速開始運行。它會掃瞄硬碟全部分區，查找EXE格式的可執行文件進行感染。受到感染的文件會被附加到病毒的尾部，而圖標不變。當用戶運行被感染的文件後，病毒就會將正常文件以隱藏的系統屬性釋放到當前目錄運行。這樣，用戶就不會察覺系統異常。

當感染後的文件被運行，病毒會連接黑客指定的網絡地址http://down.XXXX.cn/d.exe下載其他病毒。若系統中安裝得有防火牆，就可發現一些本不需用訪問網絡的程序企圖訪問網絡。

至於識別病毒文件方法，用戶可留意文件名。被病毒釋放出來的文件，文件名最後加了個空格，如「abc.exe」會釋放出「abc.exe 」。

金山反病毒工程師建議

1.最好安裝專業的殺毒軟體進行全面監控，防範日益增多的病毒。用戶在安裝反病毒軟體之後，應將一些主要監控經常打開（如郵件監控、記憶體監控等）、經常進行升級、遇到問題要上報，這樣才能真正保障計算機的安全。

2.由於玩網絡遊戲、利用QQ聊天的用戶數量逐漸增加，所以各類盜號木馬必將隨之增多，建議用戶一定要養成良好的網絡使用習慣，及時升級殺毒軟體，開啟防火牆以及實時監控等功能，切斷病毒傳播的途徑，不給病毒以可乘之機。

(