• 軟體損壞資料救援
    誤分割、誤格式化、誤ghost、駭客攻擊、PQ調整失敗等...
  • 硬體損壞資料救援
    電路板芯片燒壞,不認碟、碟體書寫錯誤等...
  • 伺服器資料救援
    磁碟陣列RAID0 、RAID1、RAID1+0、NAS、SAN 、JBO
  • 筆電資料救援
    東芝、日立、邁拓、三星、富士通、昆騰、筆記型等...
  • RAID資料救援
    對RAID0、RAID1、RAID1E、RAID5E、RAID6等救援...
  • 硬碟資料救援
    IDE、SCSI、S-ATA介面的IBM、易拓,昆騰硬碟,移動硬碟...
目前位置: 首頁 > 新聞中心 > 儲存資訊

冒牌殺軟下載器偽造系統崩潰現象欺騙用戶

【賽迪網-IT技術報道】「廣告彈出器302080」(Win32.Troj.Agent.ie.302080),這是個廣告木馬。它會劫持系統文件,然後頻繁彈出廣告頁面。該毒還具有自我更新功能。

「冒牌殺軟下載器106156」(Win32.Troj.GuiseAV.rs.106156),這是個經過偽裝的木馬下載器。它利用電腦用戶對於屏保退出的方法不熟悉,以及用戶們對安全的渴望,在電腦中偽造系統崩潰現象,欺騙用戶下載一個所謂的「殺毒軟體」。

一、「廣告彈出器302080」(Win32.Troj.Agent.ie.302080) 威脅級別:★★

此廣告木馬具有劫持功能。它釋放文件後,就會立刻遍歷RUN鍵值(也就是註冊表自動啟動項)下的所有項,並以其名字建立映像劫持。這樣,只要用戶啟動電腦,病毒就能自動運行起來。如果殺毒軟體對註冊表監控能力弱,它們也有可能被劫持,變得癱瘓。

當劫持成功,病毒連接指定的遠程地址,下載自己的更新文件,根據更新文件裡的指令,彈出病毒作者指定的網站頁面,強迫用戶瀏覽,為這些網站刷流量。

毒霸可以自動查殺該毒,已安裝毒霸的電腦用戶可以不必擔心。習慣手動殺毒的用戶請注意它所釋放出的文件BO1011.exe,以及它衍生出的文件msns*.dll(*代表一個隨機生成的數字)、fanti.sys和regti.sys。它們都被隱藏在%WINDOWS%目錄下。另外,fanti.sys和regti.sys還會有副本被複製到%WINDOWS%/system32/drivers/目錄中。

二、「冒牌殺軟下載器106156」(Win32.Troj.GuiseAV.rs.106156) 威脅級別:★★

這個木馬下載器有詐騙嫌疑。它進入用戶電腦後,會篡改用戶的屏幕保護,用病毒自帶的屏幕保護程序模擬系統崩潰的畫面,嚇唬用戶下載病毒作者指定的一個所謂「殺毒軟體」。

病毒進入系統後,先釋放ph[隨機字符].bmp、lph[隨機字符].exe ,和blph[隨機字符].scr到%WINDOWS%/system32/目錄下。然後就將自己的資料寫入系統註冊表,實現開機自啟動。

同時,病毒修改了系統屏幕保護的資料,將它自帶的屏幕保護程序安排給系統。病毒的詐騙全靠這個屏保程序。它看上去就和系統崩潰、藍屏死機時的畫面一模一樣,但會多出一個窗口,要求用戶下載一個所謂的殺毒軟體來解決此次崩潰事件。

毒霸反病毒工程師認為,這是一種很明顯的詐騙廣告。任何一個正規的殺毒軟體廠商,都不可能採取這種方式來推銷自己的產品。

金山反病毒工程師建議

1.最好安裝專業的殺毒軟體進行全面監控,防範日益增多的病毒。用戶在安裝反病毒軟體之後,應將一些主要監控經常打開(如郵件監控、記憶體監控等)、經常進行升級、遇到問題要上報,這樣才能真正保障計算機的安全。

2.由於玩網絡遊戲、利用QQ等即時聊天工具交流的用戶數量逐漸增加,所以各類盜號木馬必將隨之增多,建議用戶一定要養成良好的網絡使用習慣,如不要登錄不良網站、不要進行非法下載等,切斷病毒傳播的途徑,不給病毒以可乘之機。

(

加入好友line@vga9721w
線上客服
@hd119