金山2.20病毒播报：覆盖式下载器致杀毒软件失效

　　“覆盖式下载器”（Win32.Troj.Agent.tr），这是一个下载者木马，它采用覆盖感染的方式感染系统文件以达到随系统启动而启动。它会破坏卡巴斯基、360安全卫士等安全软件的正常运行，然后下载其它恶意程序到本机运行。

　　“窃听者木马276480”（Win32.Troj.AgentT.vx.276480），这是一个木马程序。它运行后，会添加Run启动项，伪装为系统升级文件Microsoft Update，监视用户浏览的网址和搜索的关键字等信息，并将其发送给木马种植者。

　　一、“覆盖式下载器”（Win32.Troj.Agent.tr） 威胁级别：★★

　　病毒在进入用户系统之后，会首先将conime.exe、internat.exe、ctfmon.exe这三个病毒文件释放到系统盘的%WINDOWS%system32dllcache目录下，并且覆盖感染系统桌面进程的文件explorer.exe。这样，只要用户启动电脑，病毒就能够随着explorer.exe的运行而跟着跑起来。

　　一旦病毒开始运行，它会查找当前系统中是否安装有杀毒软件“卡巴斯基”，如有，则修改系统时间为2001年导致卡巴失效，同时创建线程搜索并强行中止安全辅助软件“360安全卫士”的进程，对于“Windows文件保护”的警告窗口，它也会将其隐藏，不让用户知道系统正受到破坏。

　　当解除掉用户电脑的防御，该病毒就悄悄建立远程连接，从木马种植者制定的网址http://www.33**92.com/下载一份名为hostx.txt的木马列表，根据上面的地址去下载更多的其它恶意程序，给用户系统造成各种可能的破坏。

　　由于此病毒是对explorer.exe采取覆盖式感染，被查杀后，系统桌面将不能启动。因此，对它还需以预防为主。

　　二、“窃听者木马276480”（Win32.Troj.AgentT.vx.276480） 威胁级别：★★

　　病毒进入电脑系统后，会把病毒文件spool.exe释放到系统盘的%windows%system32目录下，并迅速修改注册表中的数据，将该文件加入启动项，使自己实现开机自启动之目的。

　　为了迷惑用户，更好的潜伏在系统中，病毒在建立启动项时，会将其命名为“Microsoft Update”，看上去就像是系统自带的升级程序组件。而实际上，它在运行起来后所做的建立监视程序，记录用户使用IE浏览器时浏览的网址、搜索的关键字等信息。

　　将记录到的信息汇总之后，病毒会在后台建立远程连接，在用户无法知晓的情况下，将它们发送至木马种植者安排的地址http://bi**ao.me**u.com。通常情况下，这类数据会被木马种植者用来统计中毒用户的上网习惯，达到商业目的，但这无疑会造成用户的个人隐私或商业机密的泄露。如果被不怀好意者掌握这类数据，用户甚至有可能遭受损失。

　　金山反病毒工程师建议

　　1.最好安装专业的杀毒软件进行全面监控，防范日益增多的病毒。用户在安装反病毒软件之后，应将一些主要监控经常打开（如邮件监控、内存监控等）、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。

　　2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，及时升级杀毒软件，开启防火墙以及实时监控等功能，切断病毒传播的途径，不给病毒以可乘之机。

　　金山毒霸反病毒应急中心及时进行了病毒库更新，升级毒霸到2008年2月20的病毒库即可查杀以上病毒；如未安装金山毒霸，可以登录http://www.duba.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816，反病毒专家将为您提供帮助。