病毒预警:循环瘫痪下载器

互联网 | 编辑: 潘翔城 2008-03-29 00:30:00原创

“循环瘫痪下载器208896”(Win32.Troj.Agent.bk.208896),这是一个病毒下载器。该病毒运行后会修改用户的计算机配置信息,关闭用户机器上运行的流行杀毒软件和防火墙,从网络上下载大量木马,盗窃用户电脑中有价值的敏感信息。

“循环瘫痪下载器208896”(Win32.Troj.Agent.bk.208896) 威胁级别:★★

具备对抗杀软能力的下载器再次出现。和机器狗、磁碟机一样,这个下载器也具备解除杀毒软件主动防御的能力。毫无疑问,这是下载器发展的一个趋势,只要可带来巨额利润的病毒黑色产业链存在,病毒作者们就会想方设法地突破杀毒软件。

如果用户机器上安装了卡巴反病毒软件,这个病毒就会在%WINDOWS%system32drivers目录下释放出驱动程序 beep.sys,将卡巴的主文件关闭。这个过程会不断反复,只要用户一启动卡巴,病毒就会立即将它强行关闭。而如果电脑中没有安装卡巴,病毒则释放这个驱动程序到系统临时目录,并且文件名随机。

接着,病毒利用自己的驱动程序,修改注册表,恢复系统SSDT表,使那些具有主动防御功能的杀毒软件失效。当这个过程运行完以后,病毒马上将其注册表项删除,需要运行时再创建。这样,用户检查注册表时,就容易发现异常。

最后,病毒开始干它的本职工作:从http://c.15**m.com/这个由病毒作者指定的地址下载一份名为okok.txt 的病毒列表。再下载列表里的所有病毒。在这些病毒中,大部分是盗号木马程序,它们会盗取用户的网络游戏帐号密码,以及其他一些私密信息。

关于该病毒的详细分析报告,可在金山病毒大百科中查阅:http://vi.duba.net/virus/win32-troj-agent-bk-208896-50493.html

金山反病毒工程师建议

1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。

2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。

金山毒霸反病毒应急中心及时进行了病毒库更新,升级毒霸到2008年3月28的病毒库即可查杀以上病毒;如未安装金山毒霸,可以登录http://www.duba.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816,反病毒专家将为您提供帮助。

相关阅读

每日精选

点击查看更多

首页 手机 数码相机 笔记本 游戏 DIY硬件 硬件外设 办公中心 数字家电 平板电脑