金山软件7.28毒报:匿名下载器下载木马
添加时间: 2008-7-28 23:08:21 作者: 本站编辑整理 阅读次数:46 来源: 金山软件
“匿名下载器147456”(Win32.TrojDownloader.Agent.147456),这是一个较典型的木马下载器病毒。该下载器在躲避杀软和用户手动查杀方面采取匿名法,也就是释放的病毒副本文件路径和文件名都随机。
“AUTO病毒下载器58053”(Worm.AutoRun.m.258053),该病毒是个木马下载器。运行后会在后台悄悄下载大量的木马病毒文件并运行。此毒还会在所有磁盘分区的根目录下创建AUTO病毒,以便传播自己。并利用映像劫持,令安全软件失效。
一、“匿名下载器147456”(Win32.TrojDownloader.Agent.147456) 威胁级别:★
近来,毒霸反病毒工程师发现,越来越多的木马采取匿名法来躲避杀软和用户的查杀,所谓匿名法,也就是病毒将自己所释放出文件使用随机名称与路径。此篇播报中的下载器就是这样一个病毒。
它进入电脑后,首先预览%WINDOWS%\system32\目录下的所有目录,然后在这些目录中随机选取一个,在这个目录下新建病毒目录,然后在其下释放病毒副本文件。随后在注册表中创建自启动项,使病毒随系统启动。
如果可以成功运行起来,该毒就连接多个指定的远程地址http://comm.w****olbar.co.kr/backman/bmvcspyware.php,读取下载列表,下载其它木马文件。经毒霸反病毒工程师检查,它所下载的木马中,包含有自己的最新版本,也就是说,此毒具有自我更新功能。
二、“AUTO病毒下载器258053”(Worm.AutoRun.m.258053) 威胁级别:★★
此下载器具有较强的传染能力。它利用AUTO技术进行传播,每当进入一台新的电脑,就会在各磁盘分区中生成AUTO文件,以感染用户插上电脑的移动存储设备。
病毒进入电脑后所释放的文件较多,都集中在系统盘的%WINDOWS%\system32\目录下,主要文件有ntfschk.exe、event32.dll、gbk.nls等。
接着,病毒修改注册表,生成自己的服务项,达到开机自启动。与此同时,它会尝试利用映像劫持令一些主流的安全软件无法启动,例如金山毒霸、360、卡巴斯基、QQ医生、NOD32、filemon等。
最后,病毒连接病毒作者指定的地址http://www.*******ina.cn/mm/,下载其他的病毒文件并运行。
为实现更快速的传播,该毒会在各磁盘分区的根目录下生成一个winsvcui.exe和autorun.inf文件,只要用户在中毒电脑上使用U盘等移动存储设备,病毒就会将其感染。
金山反病毒工程师建议
1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.由于玩网络游戏、利用QQ等即时聊天工具交流的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,如不要登录不良网站、不要进行非法下载等,切断病毒传播的途径,不给病毒以可乘之机。
上一篇文章: 金山软件7.15毒报:脚本下载器下载远程病毒 下一篇文章: 评论:防御能否走在病毒木马前面
相关文章: