「eREAD彈彈看」(Win32.Hack.RPolyCrypt.a.36864),這是一個由AUTO病毒釋放的病毒文件。它會使系統不斷的彈廣告和下載其他病毒文件。並出現會自動下載電影播放器的電子圖書。沒多久,在用戶桌面上便會顯示大量網頁圖標和與病毒文件相關的快捷方式及文件夾。總體來說,此病毒破壞性不強,但其行為卻會令用戶深感煩膩。
「AUTO木馬389120」(Win32.Troj.Autorun.389120),這是AUTO病毒。它運行後,會將自己添加到系統啟動項,隨系統開機啟動。啟動後,創建單獨的線程對系統進行掃瞄,如發現用戶添加新硬碟(比如插入USB隨身碟等移動儲存設備),就會把自己複製到新硬碟上,擴大傳播範圍。
一、「eREAD彈彈看」(Win32.Hack.RPolyCrypt.a.36864) 威脅級別:★★
病毒進入系統後,將病毒文件SVSH0ST.EXE釋放到系統盤的%windows%/system32/目錄下,並迅速運行起來,同時在%Program Files%/ppfilm/目錄下還釋放出另一個病毒文件jfCacheMgr.exe。此處值得注意的是,SVSH0ST.EXE與windows系統進程svshost.exe很像,具有一定的欺騙性,但字母均為大寫。如用戶發現自己系統中有字母為大寫的svshost.exe,那很可能就是該病毒文件。
該病毒運行後,會自動打開一本電子圖書,名為"eREAD"。很顯然這只是病毒的掩護體。隨著電子圖書的打開,病毒會自動下載PPfilm.exe文件,這其實是一個電影播放器。接著,系統會時而彈出廣告和網頁,這是最明顯的病毒症狀。彈出的網頁是無法修改大小的,而且頁面內容走位、無法調整,隨後自動關閉。
這時,如果用戶查看IE瀏覽器,會發現自己的默認主頁已被病毒修改為「http://www.j**an.com/movies/1/pa**list/0/n**update/1.shtm」,相關內容是免費電影點播。很明顯,此病毒的性質是屬於流氓廣告了。
當用戶再回到桌面時,會發現在桌面多了許多網頁圖標、文件夾以及某些軟體的快捷方式,這些是病毒自動生成的。只要病毒存在系統越久,生成圖標就會越多、彈網頁的頻率也越高。
二、「AUTO木馬389120」(Win32.Troj.Autorun.389120) 威脅級別:★
病毒進入用戶電腦後,在系統盤的%windows%/system32/目錄下釋放出病毒文件dream.exe和plmmsbl.dll,並在全部的硬碟分區根目錄下面均生成AUTO病毒文件autorun.inf、sbl.exe。只要用戶雙擊鼠標左鍵進入含毒硬碟,病毒就會被激活,而如果在中毒電腦上使用USB隨身碟等移動儲存設備,病毒也會將其感染。
接著,病毒修改系統註冊表,把自己的相關資料添加到啟動項,實現隨系統開機啟動。當成功啟動後,它會利用之前生成的dream.exe進程創建單獨的線程,對系統不斷進行掃瞄,如發現用戶添加新硬碟(比如插入USB隨身碟等移動儲存設備),就會把自己複製到新硬碟上,擴大傳播範圍。
經分析,該毒沒有明顯破壞行為,但由於採取AUTO病毒自動傳播和主文件不間斷搜索的方式進行傳染,此病毒感染移動儲存器的機率較大,廣大用戶仍需對其提高警惕。
金山反病毒工程師建議
1.最好安裝專業的殺毒軟體進行全面監控,防範日益增多的病毒。用戶在安裝反病毒軟體之後,應將一些主要監控經常打開(如郵件監控、記憶體監控等)、經常進行升級、遇到問題要上報,這樣才能真正保障計算機的安全。
2.由於玩網絡遊戲、利用QQ聊天的用戶數量逐漸增加,所以各類盜號木馬必將隨之增多,建議用戶一定要養成良好的網絡使用習慣,及時升級殺毒軟體,開啟防火牆以及實時監控等功能,切斷病毒傳播的途徑,不給病毒以可乘之機。
(