病毒利用微软交互接口技术劫持IE浏览器

“BHO下载器1015296”（Win32.TrojDownloader.Delf.1015296），这是一个木马下载器程序。它会注册为“BHO”插件，随着系统桌面进程Explorer.exe启动，创建独立线程连接网络，下载其它木马程序到用户电脑中运行。

“替身下载器49152”（Win32.TrojDownloader.Guupk.ps.49152），这是一个木马后门程序。该程序会释放WMI测试程序，更改公共信息模型类、实例和方法等，启动IE浏览器从指定网址下载一些木马。

一、“BHO下载器1015296”（Win32.TrojDownloader.Delf.1015296） 威胁级别：★★

BHO是微软推出的一种交互接口的业界标准，它使第三方的软件通过简单的代码就可以进入IE浏览器领域的“交互接口”，成为浏览器的一部分，以实现对浏览器进行指定的操作。这个技术本是为了扩展IE的功能，为IE用户提供便利。但是，病毒作者也学会了利用这一技术来控制他人电脑。下面发出预警的这个病毒，就是一个利用BHO传播的木马下载器。

这个病毒进入用户系统后，将病毒文件TDAtOnce_Now.dll释放到系统盘的%Document and Settings%\All Users\Application Data\Intel\Wireless\WLANProfiles\目录下，然后修改系统注册表，将自己注册为BHO插件，劫持了IE浏览器的运行。

以后只要用户启动电脑，病毒就可以随着桌面系统进程Explorer.exe运行起来，然后在用户使用IE浏览器时，悄悄建立远程连接，从http://m*s.*8.com/sg/send2.asp、http://www.j9***3.com等多个由病毒作者指定的远程地址下载木马程序。

预防BHO木马比较有效的方法，是尽可能不要浏览不良网站，也不要去非法下载网站下载资料，并且打开“清理专家”中的网页防挂马功能。

二、“替身下载器49152”（Win32.TrojDownloader.Guupk.ps.49152） 威胁级别：★★

病毒进入电脑后，在系统盘的%WINDOWS%\system32\wbem\Repository\FS\目录下释放出病毒文件INDEX.MAP、MAPPING.VER、MAPPING1.MAP、OBJECTS.MAP，用它们替换掉同名的系统文件，从而达到更改公共信息模型类、实例和方法的目的。一旦替换完成，它就能在用户电脑中肆意破坏了。

接着，病毒在注册表中添加了注册项，实现自动启动之目的，如果用户进行手动查杀，在检查注册表时需留意病毒的启动项名为“EXE”，对应路径为“%Program Files%\Common Files\System\GU.exe”。

当完成以上步骤，顺利运行起来，木马会自动连接木马种植者指定的多个站点，下载其它木马到用户电脑上运行。虽然目前木马种植者已经关闭了这些链接，但不排除恢复链接或在升级后的病毒中安排新链接地址的可能。

金山反病毒工程师建议

1.最好安装专业的杀毒软件进行全面监控，防范日益增多的病毒。用户在安装反病毒软件之后，应将一些主要监控经常打开（如邮件监控、内存监控等）、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。

2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，及时升级杀毒软件，开启防火墙以及实时监控等功能，切断病毒传播的途径，不给病毒以可乘之机。