科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道病毒利用微软交互接口技术劫持IE浏览器

病毒利用微软交互接口技术劫持IE浏览器

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

“BHO下载器1015296”(Win32.TrojDownloader.Delf.1015296),这是一个木马下载器程序。它会注册为“BHO”插件,随着系统桌面进程Explorer.exe启动,创建独立线程连接网络,下载其它木马程序到用户电脑中运行。

作者:ZDNet网络安全 来源:ZDNet网络安全 2008年3月25日

关键字: 木马下载器 金山 金山杀毒 金山毒霸2008 金山毒霸

  • 评论
  • 分享微博
  • 分享邮件
“BHO下载器1015296”(Win32.TrojDownloader.Delf.1015296),这是一个木马下载器程序。它会注册为“BHO”插件,随着系统桌面进程Explorer.exe启动,创建独立线程连接网络,下载其它木马程序到用户电脑中运行。

“替身下载器49152”(Win32.TrojDownloader.Guupk.ps.49152),这是一个木马后门程序。该程序会释放WMI测试程序,更改公共信息模型类、实例和方法等,启动IE浏览器从指定网址下载一些木马。

一、“BHO下载器1015296”(Win32.TrojDownloader.Delf.1015296) 威胁级别:★★

BHO是微软推出的一种交互接口的业界标准,它使第三方的软件通过简单的代码就可以进入IE浏览器领域的“交互接口”,成为浏览器的一部分,以实现对浏览器进行指定的操作。这个技术本是为了扩展IE的功能,为IE用户提供便利。但是,病毒作者也学会了利用这一技术来控制他人电脑。下面发出预警的这个病毒,就是一个利用BHO传播的木马下载器。

这个病毒进入用户系统后,将病毒文件TDAtOnce_Now.dll释放到系统盘的%Document and Settings%\All Users\Application Data\Intel\Wireless\WLANProfiles\目录下,然后修改系统注册表,将自己注册为BHO插件,劫持了IE浏览器的运行。

以后只要用户启动电脑,病毒就可以随着桌面系统进程Explorer.exe运行起来,然后在用户使用IE浏览器时,悄悄建立远程连接,从http://m*s.*8.com/sg/send2.asp、http://www.j9***3.com等多个由病毒作者指定的远程地址下载木马程序。

预防BHO木马比较有效的方法,是尽可能不要浏览不良网站,也不要去非法下载网站下载资料,并且打开“清理专家”中的网页防挂马功能。

二、“替身下载器49152”(Win32.TrojDownloader.Guupk.ps.49152) 威胁级别:★★

病毒进入电脑后,在系统盘的%WINDOWS%\system32\wbem\Repository\FS\目录下释放出病毒文件INDEX.MAP、MAPPING.VER、MAPPING1.MAP、OBJECTS.MAP,用它们替换掉同名的系统文件,从而达到更改公共信息模型类、实例和方法的目的。一旦替换完成,它就能在用户电脑中肆意破坏了。

接着,病毒在注册表中添加了注册项,实现自动启动之目的,如果用户进行手动查杀,在检查注册表时需留意病毒的启动项名为“EXE”,对应路径为“%Program Files%\Common Files\System\GU.exe”。

当完成以上步骤,顺利运行起来,木马会自动连接木马种植者指定的多个站点,下载其它木马到用户电脑上运行。虽然目前木马种植者已经关闭了这些链接,但不排除恢复链接或在升级后的病毒中安排新链接地址的可能。

金山反病毒工程师建议

1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。

2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章