金山毒霸5日预警:小心“套娃下载器”等病毒

7/5/2008来源:病毒数据库人气:3544

  金山毒霸7月5日病毒预警:今日小心“套娃下载器9032”和“野狗下载器40960”病毒。

  “套娃下载器9032”(PE.WYCao.a.9032),这是一个由汇编语言编写的感染型病毒。它能通过感染EXE文件和利用AUTO技术的方式传播。当进入用户系统,就会释放出下载器程序,建立下载行为,并感染更多正常文件。

  “野狗下载器40960”(Win32.Hack.PcClient.40960),这是一个类似于机器狗的木马下载器。它会尝试用修改系统时间、解除主动防御、结束进程等方式,破坏多款安全软件的正常运行,然后下载大量的木马程序。

  一、“套娃下载器9032”(PE.WYCao.a.9032) 威胁级别:★

  这个病毒由于同时采取感染和AUTO两种方式,传播的速度较快。在进入了用户电脑、并且被激活后,它就搜寻电脑中的正常exe文件,将自己附加到它们的前面,实现感染。并且像套娃一样,释放出另一个病毒文件windows.ext。

  严格的说,这个病毒只是一个纯粹的感染工具。它真正的实现下载行为,是依靠由它释放出的Windows.ext这个文件,这个文件才是下载器程序。Windows.ext的真实身份是Win32.Troj.Autorun.978944下载器。它被释放出来后,就在全部的磁盘分区中建立AUTO文件,以提高整个病毒的传播效率。

  同时,Windows.ext会在后台悄悄连接远程地址,下载其它病毒文件执行。经毒霸反病毒工程师检查,它所下载的是一些盗号木马,如果顺利进入用户电脑,可能会给用户的虚拟财产造成损失。

  关于该病毒的详细分析报告,可在金山病毒大百科中查阅 http://vi.duba.net/virus/pe-wycao-9032-50784.html

  二、“野狗下载器40960”(Win32.Hack.PcClient.40960) 威胁级别:★★

  机器狗病毒的新变种已经很久没有在我们的视线中出现。但很多与它类似的木马下载器依旧不断冒头。此篇播报中的就是这样一个病毒。它同样拥有大量的变种。

  病毒在进入用户电脑后,会马上获取当前进程,把进程权限提升为管理员权限,获取原始的SSDT服务函数,将SSDT表恢复,从而让一些杀毒软件的主动防御功能失效。同时,它修改系统时间为2000年,让卡巴斯基等依赖系统时间进行升级和激活的杀毒软件失效。

  另外它还尝试搜索并关闭杀毒软件金山毒霸、瑞星,以及安全辅助软件360的进程。

  当完成以上步骤,病毒便释放出自己的代码,注入系统桌面explorer.exe,悄悄在后台启动IE浏览器的进程,连接http:/ /w**a.xst2.cn这个由病毒作者指定的远程地址,下载一份病毒列表,再根据列表中的地址下载数量惊人的网游、网银盗号木马。

  关于该病毒的详细分析报告,可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-hack-pcclient-40960-50785.html

  金山反病毒工程师建议

  1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。

  2.由于玩网络游戏、利用QQ等即时聊天工具交流的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,如不要登录不良网站、不要进行非法下载等,切断病毒传播的途径,不给病毒以可乘之机。

  金山毒霸反病毒应急中心及时进行了病毒库更新,升级毒霸到2008年7月5的病毒库即可查杀以上病毒;如未安装金山毒霸,可以登录http://www.duba.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816,反病毒专家将为您提供帮助。