“蓝屏使者92215”病毒分析及防范

网络之大，无奇不有。这不最近又遇上了家中电脑莫名其妙的蓝屏、死机。开始以为是正常的系统蓝屏，可是重启后没过多久情况依旧出现，难到这也是某病毒造成的？踏入互联网打开搜索引擎，查找蓝屏关键字，结果发现了其形踪。

    Win32.Troj.DelfT.zy.92215病毒剖解
    Win32.Troj.DelfT.zy.92215又名蓝屏使者92215，此为木马病毒，主要隐匿在网络用户所观看的电影网页中，通过下载者的链接复制自身到用户计算机中，释放dll注入进程并自动创建ShellExecuteHooks启动信息，当病毒自身完全在系统中驻扎后，病毒会随即注入到Explorer.exe进程中，随系统自动启动，并开始连接网络下载其它类型的病毒木马，深度破坏用户计算机。

    其实该病毒木马主要利用网民喜欢看大片的心理，往往在最热闹的电影下载页面利用页面漏洞、跨站攻击、后台管理员破解、数据库路径截获等手段来攻陷网络，并最终达到在其目标中写入木马的效果，以达让网民在浏览或下载时被无形中在后台直接下载该编写好的木马病毒。当该病毒被挟带在影视影片中运行时，则自动激活本身原体，继而让用户机直接出现蓝屏。

    病毒在运行后首先会在用户电脑中的%program files%\Common Files\Microsoft Shared\MSINFO\目录下生成木马临时备份文件System6.tmp及木马副本System36.jup两者生存后，病毒自身将重新生存一个System6.ins文件并添加到ShellExecuteHooks中指向的启动信息。当完成上述释放后，病毒依然将修改注册表，并将自身添加到自启动项目中，注入到explorer.exe进程中，并实现跟随启动的目的，当用户每次启动计算机时，该病毒木马程序则能自动启动。

虽然该病毒木马本身对用户的操作系统破坏力不大，但中招的计算机却会在用户的计算机后台自动运行并连接网络中指定地址，如：http://j**st.y******7.com，并开始在用户不知情的情况下下载各种病毒木马感染用户操作系统，并趁机盗取用户的游戏帐号、网银密码、股市信息及个人隐私，其危害不容小视，也不可不防。一但感染此马，那将给网民带来不必要的麻烦。

    此木马本身对系统不具破坏作用，但它会在用户不知晓的情况下连接http://j**st.y******7.com,在指定的网址下载大量各类病毒，如果你的电脑突然蓝屏，有可能就是它的“杰作”。在它下载的木马中，大部分具备盗号和系统破坏等功能，因此，如果此病毒进入电脑系统，它将带来对系统的严重破坏以及造成用户虚拟财产的损失。

    防范方法
    面对强大的病毒木马的攻击，那用户到底该如何防范呢？其实方法很简单，只要注意平时日常网络中的形为规范，要安装正规的杀毒软件，在登陆网站时要注意打开杀毒软件与防火墙，增加意识，尽量不要打开陌生网站，不要轻易接受陌生人的邮件，同时对QQ上传送的网址及各种文件，要及时进行先查毒再运行，以防不测。也就是说网民在提高自身戒备的同时要密切关注网络中的最新安全动态及病毒预警，将安全风险降低到最小方为上策。

    编者按：如果遇到上述病毒只需升级当前计算机中所用的杀毒软件到最新病毒库进行全面查杀即可，或者也可以手工按病毒生存步骤进行删除三个文件，最后将注入到explorer.exe中的病毒程序分离出来即可。