【賽迪網-IT技術報道】金山7月31日病毒播報:「機器狗變種53248」(Win32.Troj.DownLoaderT.mr.53248),這是一個機器狗下載器的變種。它能夠穿透系統還原,下載大量的木馬。為迷惑用戶,它會給自己的進程採用系統托盤區拼音輸入法的圖標。
「武裝廣告下載器72711」(Win32.vking.cf.72711),這是一個感染型的病毒下載器。它會感染除指定文件夾外的所有exe文件。如果中毒機器在局域網內,病毒將試圖通過共享傳播自身。另外,它還會破壞大多數流行殺軟的運行。
一、「機器狗變種53248」(Win32.Troj.DownLoaderT.mr.53248) 威脅級別:★★
此下載器的原始文件進入系統後,釋放出病毒文件ctfmon.exe到系統盤%WINDOWS%/目錄下,另外兩個文件Upack.exe和ctfmon.exe會被釋放到系統盤根目錄下。然後,它判斷當前進程裡是否存在BKPCLIENT.EXE和MENU.EXE(貝殼硬碟保護)2個進程,如不存在,就寫驅動穿還原系統。
然後,病毒把系統桌面進程explorer.exe複製到系統盤根目錄中,命名為tempdat.dat,再將自己的資料寫入原來的explorer.exe中,這樣,它就可以隨著桌面的啟動而自動運行起來。
當成功運行起來,此毒便連接指定的遠程地址,下載一份病毒列表,根據其中的地址,下載更多其它木馬到%WINDOWS%/system32/目錄下運行,下載一個運行一個。這就造成系統資源逐漸被吞噬,電腦運行越來越慢。
毒霸反病毒工程師檢查後發現,它所下載的木馬,大部分是盜號器,可能對用戶的虛擬財產構成威脅。另外,由於ctfmon.exe這個病毒文件與系統的托盤區拼音圖標文件同名,可能會給用戶構成迷惑。
二、「武裝廣告下載器72711」(Win32.vking.cf.72711) 威脅級別:★
該病毒會將自身scvhosL.exe複製到%WINDOWS%/system32/drivers/目錄中,並設置文件屬性為 「系統|隱藏|只讀」,再以 .EXE(文件名為空)為文件名,將自身拷貝到每個盤的根目錄,並寫入一個autorun.inf文件,實現利用AUTO自動傳播。
除自我複製外,它還會搜索並感染系統中的exe文件。如果中毒機器在局域網內,病毒將以administrator空口令刺探其它電腦,利用共享文檔來傳播自身。
另外,為了對抗殺軟,病毒作者準備了一份清單,上面有目前主流的一些殺軟在註冊表啟動項中的值。病毒只要根據它,刪除這些數值,就可以令殺軟癱瘓。
最後,病毒解密自帶的一個.txt文件,讀取裡面的網址,下載惡意程序並執行。根據毒霸反病毒工程師的檢查,它所下載的是一個廣告木馬程序。這個木馬會將用戶的IE瀏覽器自動登錄到一個指定的網頁地址,為它刷流量。
金山反病毒工程師建議
1.最好安裝專業的殺毒軟體進行全面監控,防範日益增多的病毒。用戶在安裝反病毒軟體之後,應將一些主要監控經常打開(如郵件監控、記憶體監控等)、經常進行升級、遇到問題要上報,這樣才能真正保障計算機的安全。
2.由於玩網絡遊戲、利用QQ等即時聊天工具交流的用戶數量逐漸增加,所以各類盜號木馬必將隨之增多,建議用戶一定要養成良好的網絡使用習慣,如不要登錄不良網站、不要進行非法下載等,切斷病毒傳播的途徑,不給病毒以可乘之機。
(