1月2號:「李鬼卡巴42492」(Worm.AutoRun.42492),這是一個下載者木馬。它通過修改時間的方法使殺毒軟件卡巴斯基失效,同時把自己偽裝成卡巴斯基7.0的服務程序,在後台悄悄下載大量的木馬病毒文件並運行。此病毒還會在所有磁盤分區的根目錄下創建AUTO病毒,以便傳播自己。
「平凡下載器變種90112」(Win32.Trojdownloader.Agent.90112),這是一個木馬下載者程序變種。病毒運行後會複製自身至系統盤中,並在所有硬盤分區的根目錄下生成AUTO病毒。它還會加載一個病毒進程,利用Iexplore.exe在後台連接遠程服務器,下載大量病毒及廣告。
一、「李鬼卡巴42492」(Worm.AutoRun.42492) 威脅級別:★★
病毒進入用戶的系統後,會把自身病毒文件sky.exe複製到系統盤的%WINDOWS%\system32\目錄下,並將其屬性設為系統隱藏文件,以免被用戶發現。緊接著,它就搜索殺毒軟件卡巴斯基的進程,如果找到,立即修改系統時間為1981-01-12,導致依賴系統時間卡巴斯基失效,然後,病毒就會試圖刪除卡巴斯基的服務。
隨後,病毒修改系統註冊表,把自己的相關信息加入啟動項,這樣以後它都能隨系統啟動而自動運行起來。同時,它還會偽裝成卡巴斯基7.0的服務程序。從修改時間時算起,15秒後,病毒恢復正確的系統時間,這樣,它成功完成「偷天換日」,搖身變成了卡巴的模樣,而用戶卻仍蒙在鼓裡。
當病毒順利地開始運行後,它就在後台建立遠程連接,從木馬作者指定的地址下載大量其它木馬文件,並立刻運行它們。同時,病毒將自身文件sky.exe複製到各磁盤的根目錄下,並創建對應的autorun.inf文件,只要用戶在中毒電腦上使用U盤等移動存儲器,病毒就會立刻將其傳染,擴大自己的感染範圍。
此外,該病毒具有自我刪除的功能,當運行完後,它就在%WINDOWS%\system32\目錄下創建一個Deledomn.bat文件,將自己的原始文件刪除。
二、「平凡下載器變種90112」(Win32.Trojdownloader.Agent.90112) 威脅級別:★
病毒進入電腦系統後,會在系統盤的%windows%\system32\目錄下釋放出病毒文件TxHMoU.Exe,並在全部的磁盤分區根目錄下都生成AUTO病毒文件SoS.Exe和AUToRUN.Inf,只要用戶雙擊含毒磁盤的盤符,病毒就會立即被激活。而如果用戶在中毒電腦上使用U盤等移動存儲器,病毒會立刻將其傳染,以擴大自己的感染範圍。
隨後,病毒修改註冊表,將自己的相關信息加入其中,實現開機自動啟動之目的,並加載之前生成的TxHMoU.Exe文件,在後台打開IE瀏覽器的進程Iexplore.exe,利用它建立遠程連接。從
http://xx.5**l*ve.cn這個由木馬作者指定地址下載大量其它病毒及廣告,給用戶的系統安全造成更大威脅,甚至造成用戶個人隱私的洩露。
木馬作者在進行破壞的同時,還會給自己打打廣告,他在病毒中附上自己的名字和聯繫方式,讓人覺得比較囂張。
金山反病毒工程師建議
1.最好安裝專業的殺毒軟件進行全面監控,防範日益增多的病毒。用戶在安裝反病毒軟件之後,應將一些主要監控經常打開(如郵件監控、內存監控等)、經常進行升級、遇到問題要上報,這樣才能真正保障計算機的安全。
2.由於玩網絡遊戲、利用QQ聊天的用戶數量逐漸增加,所以各類盜號木馬必將隨之增多,建議用戶一定要養成良好的網絡使用習慣,及時升級殺毒軟件,開啟防火牆以及實時監控等功能,切斷病毒傳播的途徑,不給病毒以可乘之機。
