【賽迪網-IT技術報道】「BHO下載器1015296」(Win32.TrojDownloader.Delf.1015296),這是一個木馬下載器程序。它會註冊為「BHO」插件,隨著系統桌面進程Explorer.exe啟動,創建獨立線程連接網絡,下載其它木馬程序到用戶電腦中運行。
「替身下載器49152」(Win32.TrojDownloader.Guupk.ps.49152),這是一個木馬後門程序。該程序會釋放WMI測試程序,更改公共信息模型類、實例和方法等,啟動IE瀏覽器從指定網址下載一些木馬。
一、「BHO下載器1015296」(Win32.TrojDownloader.Delf.1015296) 威脅級別:★★
BHO是微軟推出的一種交互接口的業界標準,它使第三方的軟體通過簡單的代碼就可以進入IE瀏覽器領域的「交互接口」,成為瀏覽器的一部分,以實現對瀏覽器進行指定的操作。這個技術本是為了擴展IE的功能,為IE用戶提供便利。但是,病毒作者也學會了利用這一技術來控制他人電腦。下面發出預警的這個病毒,就是一個利用BHO傳播的木馬下載器。
這個病毒進入用戶系統後,將病毒文件TDAtOnce_Now.dll釋放到系統盤的%Document and Settings%/All Users/Application Data/Intel/Wireless/WLANProfiles/目錄下,然後修改系統註冊表,將自己註冊為BHO插件,劫持了IE瀏覽器的運行。
以後只要用戶啟動電腦,病毒就可以隨著桌面系統進程Explorer.exe運行起來,然後在用戶使用IE瀏覽器時,悄悄建立遠程連接,從http://m*s.*8.com/sg/send2.asp、http://www.j9***3.com等多個由病毒作者指定的遠程地址下載木馬程序。
預防BHO木馬比較有效的方法,是盡可能不要瀏覽不良網站,也不要去非法下載網站下載資料,並且打開「清理專家」中的網頁防掛馬功能。
二、「替身下載器49152」(Win32.TrojDownloader.Guupk.ps.49152) 威脅級別:★★
病毒進入電腦後,在系統盤的%WINDOWS%/system32/wbem/Repository/FS/目錄下釋放出病毒文件INDEX.MAP、MAPPING.VER、MAPPING1.MAP、OBJECTS.MAP,用它們替換掉同名的系統文件,從而達到更改公共信息模型類、實例和方法的目的。一旦替換完成,它就能在用戶電腦中肆意破壞了。
接著,病毒在註冊表中添加了註冊項,實現自動啟動之目的,如果用戶進行手動查殺,在檢查註冊表時需留意病毒的啟動項名為「EXE」,對應路徑為「%Program Files%/Common Files/System/GU.exe」。
當完成以上步驟,順利運行起來,木馬會自動連接木馬種植者指定的多個站點,下載其它木馬到用戶電腦上運行。雖然目前木馬種植者已經關閉了這些鏈接,但不排除恢復鏈接或在升級後的病毒中安排新鏈接地址的可能。
金山反病毒工程師建議
1.最好安裝專業的殺毒軟體進行全面監控,防範日益增多的病毒。用戶在安裝反病毒軟體之後,應將一些主要監控經常打開(如郵件監控、記憶體監控等)、經常進行升級、遇到問題要上報,這樣才能真正保障計算機的安全。
2.由於玩網絡遊戲、利用QQ聊天的用戶數量逐漸增加,所以各類盜號木馬必將隨之增多,建議用戶一定要養成良好的網絡使用習慣,及時升級殺毒軟體,開啟防火牆以及實時監控等功能,切斷病毒傳播的途徑,不給病毒以可乘之機。
(