扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
“覆盖式下载器”(Win32.Troj.Agent.tr),这是一个下载者木马,它采用覆盖感染的方式感染系统文件以达到随系统启动而启动。它会破坏卡巴斯基、360安全卫士等安全软件的正常运行,然后下载其它恶意程序到本机运行。
“窃听者木马276480”(Win32.Troj.AgentT.vx.276480),这是一个木马程序。它运行后,会添加Run启动项,伪装为系统升级文件Microsoft Update,监视用户浏览的网址和搜索的关键字等信息,并将其发送给木马种植者。
一、“覆盖式下载器”(Win32.Troj.Agent.tr) 威胁级别:★★
病毒在进入用户系统之后,会首先将conime.exe、internat.exe、ctfmon.exe这三个病毒文件释放到系统盘的%WINDOWS%system32dllcache目录下,并且覆盖感染系统桌面进程的文件explorer.exe。这样,只要用户启动电脑,病毒就能够随着explorer.exe的运行而跟着跑起来。
一旦病毒开始运行,它会查找当前系统中是否安装有杀毒软件“卡巴斯基”,如有,则修改系统时间为2001年导致卡巴失效,同时创建线程搜索并强行中止安全辅助软件“360安全卫士”的进程,对于“Windows文件保护”的警告窗口,它也会将其隐藏,不让用户知道系统正受到破坏。
当解除掉用户电脑的防御,该病毒就悄悄建立远程连接,从木马种植者制定的网址http://www.33**92.com/下载一份名为hostx.txt的木马列表,根据上面的地址去下载更多的其它恶意程序,给用户系统造成各种可能的破坏。
由于此病毒是对explorer.exe采取覆盖式感染,被查杀后,系统桌面将不能启动。因此,对它还需以预防为主。
二、“窃听者木马276480”(Win32.Troj.AgentT.vx.276480) 威胁级别:★★
病毒进入电脑系统后,会把病毒文件spool.exe释放到系统盘的%windows%system32目录下,并迅速修改注册表中的数据,将该文件加入启动项,使自己实现开机自启动之目的。
为了迷惑用户,更好的潜伏在系统中,病毒在建立启动项时,会将其命名为“Microsoft Update”,看上去就像是系统自带的升级程序组件。而实际上,它在运行起来后所做的建立监视程序,记录用户使用IE浏览器时浏览的网址、搜索的关键字等信息。
将记录到的信息汇总之后,病毒会在后台建立远程连接,在用户无法知晓的情况下,将它们发送至木马种植者安排的地址http://bi**ao.me**u.com。通常情况下,这类数据会被木马种植者用来统计中毒用户的上网习惯,达到商业目的,但这无疑会造成用户的个人隐私或商业机密的泄露。如果被不怀好意者掌握这类数据,用户甚至有可能遭受损失。
金山反病毒工程师建议
1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。
金山毒霸反病毒应急中心及时进行了病毒库更新,升级毒霸到2008年2月20的病毒库即可查杀以上病毒;如未安装金山毒霸,可以登录http://www.duba.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816,反病毒专家将为您提供帮助。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。