流量劫持者广告木马 IE浏览器疯狂刷新

“流量劫持者”（Win32.Troj.VB.40960），这是一个广告木马。它可以对IE6、IE7浏览器地址栏进行劫持来刷搜索流量，同时监视用户的进程操作，并隐藏安全软件的窗口。该木马还会不时弹出木马制作者指定的网站广告。

“断网病毒下载器”（Win32.VirInstaller.Mudrop.fc.139264），这是一个下载者木马。该病毒运行后，会立即从网络上下载大量的病毒。并且关闭瑞星，金山，卡巴等杀毒软件。同时，它还发送大量的ARP欺骗数据干扰网络，造成用户无法正常上网。

“流量劫持者”（Win32.Troj.VB.40960） 威胁级别：★★

病毒运行后，在%Program Files%\Common files\目录下生成病毒文件l003.exe和bak.dat，随后，利用bak.dat将自身原始文件删除，避免被用户发现。接着，它修改注册表，加入一个名为“~@#”的启动项，并将该启动项指向到之前生成的l003.exe病毒文件，这样一来，每次用户启动系统时，病毒程序也随之启动。

此病毒会挟持用户电脑上已安装的百度搜索，寻找IFrame，获取浏览器地址栏中的网址，搜索其中是否有木马制作者希望增加流量的网址。如有，便在其地址前面添加字符串"http://www.baidu.com/baidu?tn=05netcn_cb&word="后写回到地址栏，以此造成重复搜索，骗取搜索流量。

同时，该病毒还会监视用户的进程操作，如发现冰刃等安全软件的窗口，就将其隐藏，阻止用户删除病毒本身。并将用户的进程信息发送到木马制作者指定的地址http://r******sp.host1.nuno.cn/count/dj.htm进行分析，从中获得用户个人隐私。此外，它还会不时弹出广告，干扰用户的正常上网。

“断网病毒下载器”（Win32.VirInstaller.Mudrop.fc.139264） 威胁级别：★★

病毒运行后，先在系统盘的\windows\system32\drivers\目录和\windows\system32\Com\目录下分别释放出pcibus.sys及comrepl32.exe两个文件，然后将comrepl32.exe文件加入注册表，达到随系统启动而启动的目的。

为防止被安全软件删除，病毒运行后立刻搜索瑞星、金山、天网、卡巴斯基、360安全卫士等安全软件的进程，一旦发现，便将其关闭，使用户的系统安全性大大降低，病毒便连接 http://www.9*****3.com/e*****sto.txt 这一地址，获得病毒列表，根据该文本文件里的病毒列表去下载更多病毒。同时，该病毒会在本机4444端口创建一个后门，通过该端口进行ARP操作，干扰用户上网。而且，黑客也可通过该后门进行远程连接，获取用户系统内的信息。

除了以上行为，这个病毒还会搜索所有的非系统盘，感染所有以EXE为后缀的文件，造成用户无法正常使用被感染的EXE文件，给用户带来极大的损失。

金山反病毒工程师建议

1.最好安装专业的杀毒软件进行全面监控。建议用户安装反病毒软件防止日益增多的病毒，用户在安装反病毒软件之后，应该经常进行升级、将一些主要监控经常打开（如邮件监控、内存监控等），遇到问题要上报， 这样才能真正保障计算机的安全。

2.玩网络游戏、利用QQ聊天的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，及时升级杀毒软件，开启防火墙以及实时监控等功能，切断病毒传播的途径，不给病毒以可乘之机。