病毒將自身註冊為瀏覽器插件彈出廣告窗口

「間諜廣告74752」（Win32.Adware.Relevance.b.74752），這是一個廣告程序木馬。該病毒運行後，註冊為瀏覽器插件，隨IE瀏覽器的啟動而自動加載，收集用戶瀏覽記錄，並彈出廣告窗口。

「寄生蟲下載器57347」（Win32.BMW.a.57347），這是一個感染型病毒。它運行後，會嘗試關閉部分殺毒軟體，並遍歷硬碟和網絡共享進行感染，同時還嘗試連接網絡下載其他病毒。

一、「間諜廣告74752」（Win32.Adware.Relevance.b.74752） 威脅級別：★

病毒進入電腦系統後，在系統盤%Program Files%目錄下生成一個「SearchRelevancy」文件夾，並在裡面釋放出病毒文件earchRelevancy.dll和SearchRelevancy.xml。在%WINDOWS%/system32/目錄下還會生成一個病毒文件ide21201.vxd。

等文件釋放完畢，病毒就修改系統註冊表中的相關資料，將自己註冊為瀏覽器插件，只要當用戶一啟動IE瀏覽器，病毒程序就能自動加載。如果順利運行起來，病毒會記錄用戶使用瀏覽器時瀏覽的網址，以及搜索的關鍵字等，然後將這些收集到的信息發送到木馬種植者指定的伺服器http://www.g***u.com/search上進行分析，並根據分析的結果在用戶系統上彈出廣告窗口。

此外，該病毒具備一定的自我更新功能。它會在後台悄悄連接連接木馬種植者安排的升級伺服器http://updates.tr**f*e.com/index.php下載升級文件，從而具備新的破壞功能。

二、「寄生蟲下載器57347」（Win32.BMW.a.57347） 威脅級別：★

此病毒為感染型病毒，它運行後會釋放出感染源到系統臨時目錄，並立即遍歷硬碟和網絡共享盤，尋找系統中全部的exe文件進行感染。同時，為防止殺毒軟體升級後具備查殺自己的能力，它會搶先搜索並關閉卡巴斯基、江民、瑞星、麥咖啡等常見的殺毒軟體。

當感染exe文件成功後，病毒就利用這些文件的運行空間創建自己病毒服務。如果用戶注意檢查系統進程，會發現名稱為「ntapisvc」，描述為「Windows api Security Center」的系統服務，這就是該病毒的服務進程。

如果以上步驟都順利實現，病毒便在用戶無法察覺的情況下建立遠程連接，從網上下載更多其它病毒到用戶電腦中運行，引起更多無法估計的破壞。

金山反病毒工程師建議

1.最好安裝專業的殺毒軟體進行全面監控，防範日益增多的病毒。用戶在安裝反病毒軟體之後，應將一些主要監控經常打開（如郵件監控、記憶體監控等）、經常進行升級、遇到問題要上報，這樣才能真正保障計算機的安全。

2.由於玩網絡遊戲、利用QQ聊天的用戶數量逐漸增加，所以各類盜號木馬必將隨之增多，建議用戶一定要養成良好的網絡使用習慣，及時升級殺毒軟體，開啟防火牆以及實時監控等功能，切斷病毒傳播的途徑，不給病毒以可乘之機。

(