「桌面偽裝木馬23552」(Win32.Troj.Downloader.ex.23552),這是一個木馬下載者病毒。該病毒運行後,釋放一個偽explorer.exe,以便隨系統自動啟動。從配置信息中讀取下載的網址,從該網址處下載其他病毒到用戶系統中運行。
「牧民遠程控制361984」(Win32.Hack.Delf.388261),這是一個黑客控制木馬。該病毒運行後,會自動添加到系統服務。當隨系統開機啟動後,創建單獨的svchost.exe進程,並將dll模塊加載到其中,然後開啟遠程線程創建後門等待黑客控制被感染機器。
一、「桌面偽裝木馬23552」(Win32.Troj.Downloader.ex.23552) 威脅級別:★
病毒進入系統後,在系統盤的%WINDOWS%/system32/目錄下釋放出BOLE.ini、explorer.exe、netsrv.dll等三個病毒文件。其中explorer.exe是病毒主程序,在釋放完畢後,病毒就會把此文件的相關信息寫入系統註冊表的啟動項,這樣以後它就可隨系統自動啟動,由於這個病毒文件與系統桌面進程同名,對用戶具有一定迷惑性。
當成功運行起來,病毒就讀取之前釋放出的病毒文件BOLE.ini。此文件為病毒配置信息,病毒根據裡面的信息,悄悄建立遠程連接,從木馬種植者指定的地址http://xxxxx.1a2b3c1.net/下載一份名為list.txt的木馬列表,再讀取其中的地址,下載更多的其它木馬程序到中毒電腦中運行,引起更多無法估計的破壞。
此外,由於木馬種植者可隨時更改木馬列表中的下載地址和程序,因此該病毒也就具備了一定的更新能力。
二、「牧民遠程控制361984」(Win32.Hack.Delf.388261) 威脅級別:★★
病毒順利潛入用戶系統後,將病毒文件sysi.dll釋放到系統盤的%WINDOWS%%/system32目錄下,然後修改系統註冊表,創建系統服務,將自己設置為開機自啟動。對註冊表熟悉的用戶如果檢查註冊表,就能發現裡面已經被添加了可令電腦自動上線的資料。
當病毒開始運行,它會創建單獨的svchost.exe進程,並將之前生成的dll文件加載到其中,創建後門。然後在用戶無法察覺的情況下開啟遠程線程,連接http://yk2812017.3322.org:8000這個由黑客(木馬種植者)指定的地址,使黑客可以控制被感染機器。
由於svchost.exe在正常的電腦中也可能同時出現多個,這就造成一些初級用戶感到迷惑,難以識別哪個是病毒進程。而當黑客控制中毒電腦後,他就能進行幾乎任何想要的操作,甚至利用中毒電腦去攻擊其它電腦,給用戶造成無法估計的損失和麻煩。
金山反病毒工程師建議
1.最好安裝專業的殺毒軟體進行全面監控,防範日益增多的病毒。用戶在安裝反病毒軟體之後,應將一些主要監控經常打開(如郵件監控、記憶體監控等)、經常進行升級、遇到問題要上報,這樣才能真正保障計算機的安全。
2.由於玩網絡遊戲、利用QQ聊天的用戶數量逐漸增加,所以各類盜號木馬必將隨之增多,建議用戶一定要養成良好的網絡使用習慣,及時升級殺毒軟體,開啟防火牆以及實時監控等功能,切斷病毒傳播的途徑,不給病毒以可乘之機。
(