“绝望播种机”(Win32.TrojDownloader.Agent.bl.139378),该病毒为一个木马下载器。病毒运行后劫持大量的杀毒软件和安全相关工具无法运行,还会破坏安全模式,使中毒用户无法在安全模式下查杀病毒。最后它会下载大量盗号木马到用户计算机上运行。
“IE自动下载器16896”(Win32.TrojDownloader.Agent.nq),这是一个木马下载器。该病毒会修改IE首页网址,自动启动IE浏览器从网上下载一些其它木马。
一、“绝望播种机”(Win32.TrojDownloader.Agent.bl.139378) 威胁级别:★★
在各安全软件厂商的重点打击下,磁碟机、机器狗等具备对抗安全软件的下载器近来低调了许多,变种更新的速度大大减慢。不过,我们不能为此就掉以轻心,因为其它的木马下载器依旧层出不穷。根据昨日毒霸反病毒工程师统计到的信息,下面这个木马下载器就有着较高的威胁级别。
这个下载器给你的系统带来的威胁,在于它会破坏几乎一切可用于查杀它的系统服务和工具,并劫持目前市场上知名度较高的安全软件。它一旦成功潜入用户的系统,就会在系统盘下释放出三个病毒文件,分别是%Program Files%目录下的meex.exe,以及%Program Files%Common FileSystem目录和%Program Files%Common FilesMicrosoft Shared目录下的“.exe”。请注意,这个“.exe”是没有名称的。
接下来,病毒首先会抢先查找并劫持用户电脑中已安装的安全软件,在这个过程中,几乎所有你听说过的安全软件都会被“解除武装”。然后,开始疯狂地修改注册表,除将自己写入启动项外,还进行以下动作:
1、删除注册表安全模式的有关信息,当开机时不能启动安全模式
2、改变注册表值使隐藏文件不可见,达到病毒体隐藏目的
3、禁用此计算机上的帮助与支持中心服务
4、禁用网络地址转换、寻址、名称解析、和入侵保护服务
5、禁用监视系统安全设置和配置服务
6、禁用下载和安装Windows更新服务
完成这一系列的动作后,对绝大多数用户而言,他们将失去查杀该毒的机会,唯有“重装”可选。而为了扩大自己的传染范围,病毒还在各个驱动器下创建AUTO病毒文件.exe和autorun.inf,只要用户在中毒电脑上使用U盘移动存储设备,病毒就会立即传染上去,随着U盘转移到其它正常电脑上。
在扫清自己犯罪的全部障碍后,病毒开始干它的本职工作:下载其它木马到中毒电脑上运行。因为用户已经失去任何抵抗能力,即便是个很古老的盗号木马,也可以顺利盗取到它想要的信息,给用户带来无法想像的损失和麻烦。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅:http://vi.duba.net/virus/win32-trojdownloader-agent-bl-139378-50482.html
二、“IE自动下载器16896”(Win32.TrojDownloader.Agent.nq.16896) 威胁级别:★
这是一个利用IE浏览器进行下载的下载器,它把自己伪装成百度的图片,借以欺骗用户点击。
病毒进入用户电脑后,把自己隐藏在系统盘的根目录下,起名为“baidu.gif”,让用户乍一看还以为是百度的GIF格式图片。接着,它修改系统注册表,把自己的数据写入启动项,实现开机自启动。
同时,病毒在系统菜单的“我最近的文档”中建立两个快捷方式,试图让用户去点击查看自己的文件,以进行激活。
当病毒运行起来,它就会修改IE浏览器的首页网址,然后自动启动IE浏览器,从木马种植者指定的远程地址下载一些其它木马程序。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅:http://vi.duba.net/virus/win32-trojdownloader-agent-nq-16896-50483.html
金山反病毒工程师建议
1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。
金山毒霸反病毒应急中心及时进行了病毒库更新,升级毒霸到2008年3月23的病毒库即可查杀以上病毒;如未安装金山毒霸,可以登录http://www.duba.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816,反病毒专家将为您提供帮助。
网友评论