「覆蓋式下載器」(Win32.Troj.Agent.tr),這是一個下載者木馬,它採用覆蓋感染的方式感染系統文件以達到隨系統啟動而啟動。它會破壞卡巴斯基、360安全衛士等安全軟體的正常運行,然後下載其它惡意程序到本機運行。
「竊聽者木馬276480」(Win32.Troj.AgentT.vx.276480),這是一個木馬程序。它運行後,會添加Run啟動項,偽裝為系統升級文件Microsoft Update,監視用戶瀏覽的網址和搜索的關鍵字等信息,並將其發送給木馬種植者。
一、「覆蓋式下載器」(Win32.Troj.Agent.tr) 威脅級別:★★
病毒在進入用戶系統之後,會首先將conime.exe、internat.exe、ctfmon.exe這三個病毒文件釋放到系統盤的%WINDOWS%/system32/dllcache/目錄下,並且覆蓋感染系統桌面進程的文件explorer.exe。這樣,只要用戶啟動電腦,病毒就能夠隨著explorer.exe的運行而跟著跑起來。
一旦病毒開始運行,它會查找當前系統中是否安裝有殺毒軟體「卡巴斯基」,如有,則修改系統時間為2001年導致卡巴失效,同時創建線程搜索並強行中止安全輔助軟體「360安全衛士」的進程,對於「Windows文件保護」的警告窗口,它也會將其隱藏,不讓用戶知道系統正受到破壞。
當解除掉用戶電腦的防禦,該病毒就悄悄建立遠程連接,從木馬種植者制定的網址http://www.33**92.com/下載一份名為hostx.txt的木馬列表,根據上面的地址去下載更多的其它惡意程序,給用戶系統造成各種可能的破壞。
由於此病毒是對explorer.exe採取覆蓋式感染,被查殺後,系統桌面將不能啟動。因此,對它還需以預防為主。
二、「竊聽者木馬276480」(Win32.Troj.AgentT.vx.276480) 威脅級別:★★
病毒進入電腦系統後,會把病毒文件spool.exe釋放到系統盤的%windows%/system32/目錄下,並迅速修改註冊表中的資料,將該文件加入啟動項,使自己實現開機自啟動之目的。
為了迷惑用戶,更好的潛伏在系統中,病毒在建立啟動項時,會將其命名為「Microsoft Update」,看上去就像是系統自帶的升級程序組件。而實際上,它在運行起來後所做的建立監視程序,記錄用戶使用IE瀏覽器時瀏覽的網址、搜索的關鍵字等信息。
將記錄到的信息匯總之後,病毒會在後台建立遠程連接,在用戶無法知曉的情況下,將它們發送至木馬種植者安排的地址http://bi**ao.me**u.com。通常情況下,這類資料會被木馬種植者用來統計中毒用戶的上網習慣,達到商業目的,但這無疑會造成用戶的個人隱私或商業機密的洩露。如果被不懷好意者掌握這類資料,用戶甚至有可能遭受損失。
金山反病毒工程師建議
1.最好安裝專業的殺毒軟體進行全面監控,防範日益增多的病毒。用戶在安裝反病毒軟體之後,應將一些主要監控經常打開(如郵件監控、記憶體監控等)、經常進行升級、遇到問題要上報,這樣才能真正保障計算機的安全。
2.由於玩網絡遊戲、利用QQ聊天的用戶數量逐漸增加,所以各類盜號木馬必將隨之增多,建議用戶一定要養成良好的網絡使用習慣,及時升級殺毒軟體,開啟防火牆以及實時監控等功能,切斷病毒傳播的途徑,不給病毒以可乘之機。
(