金山毒霸每日病毒预警
“木马组合模块219648”(Win32.Troj.WdHitT.a.219648),这个病毒是win32.
Troj.WeHit.397312木马的组成部分。eHit家族
木马分工明确,除了传统
下载器功能以外,还有广告
软件功能,会在后台访问指定网站刷流量信息。
“无赖下载器69632”(Win32.TrojDownloader.
Agent.69632),这是一个木马下载器
程序。它进入
系统后会连接到指定
地址,下载大量木马。病毒还试图对抗反病毒人员的查杀,如果它探测到有人对它进行分析,就会强行关机。
一、“木马组合模块219648”(Win32.Troj.WdHitT.a.219648)威胁级别:★★
当这个模块运行起来,它就读取win32.Troj.WeHit.397312木马释放在系统盘%
WINDOWS%目录下的ccwl16.ini文件,获取其它模块的路径信息。接着,它在
文件夹%DocumentsandSettings%\AllUsers\「开始」菜单\程序\启动下创建快捷方式msword,指向“我的
电脑”。
病毒会查找系统内是否存在杀软
提示病毒或木马的窗口,如存在这些窗口则模拟鼠标按键消息放行,并关闭窗口。同时,它修改注册表,将自己注册为IE浏览器的插件,当用户启动IE时,它就会弹出大量的广告窗口,将用户引导到病毒作者指定的网站,为这些网站刷流量。
此外,病毒会连接指定的远程地址,上传用户的电脑信息,并下载其它木马到用户电脑中运行,从而带来更多的
麻烦。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅
http://vi.duba.net/virus/win32-troj-wdhitt-219648-50786.html
二、“无赖下载器69632”(Win32.TrojDownloader.Agent.69632)威胁级别:★
这个病毒的作案原理很简单。当进入系统后,它会立刻获取当前进程,把进程权限提升为管理员级,从而实现对系统的操纵。
它在后台检查是否可以连上
www.google.cn和www.baidu.com,如果成功,就从指定地址下载一份病毒列表,再根据列表中的地址下载海量的盗号木马文件。
这样一个原理简单的病毒,之所以传播范围较大,是由于病毒作者在它的代码里插入了大量的反调试代码,如果它探测到有人试图对它进行分析,便会马上强行关机,阻止反病毒工作者的查杀。
顺便提及的时,该毒具有自删除功能。如果可以顺利的下载完木马,它就把自己的原始文件删除,从而降低被发现的机率。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅
http://vi.duba.net/virus/win32-trojdownloader-agent-69632-50787.html
金山反病毒工程师建议
1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、
内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.由于玩
网络游戏、利用QQ等即时聊天
工具交流的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,如不要登录不良网站、不要进行非法下载等,切断病毒传播的途径,不给病毒以可乘之机。
金山毒霸反病毒应急中心及时进行了病毒库更新,升级毒霸到2008年7月6的病毒库即可查杀以上病毒;如未安装
金山毒霸,可以登录
http://www.duba.net免费下载最新版金山毒霸2008或使用金山毒霸
在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816,反病毒
专家将为您提供帮助。
