“黑客木马下载器1367552”(Win32.Troj.DownLoader.se.1367552),这是一个下载者木马,运行后会从指定网址下载一个病毒列表的文本,然后对照该文本中的网址下载木马并运行。经毒霸反病毒专家跟踪分析,被下载的木马是一个远程控制软件,如果该软件被安装并运行,黑客可以完全控制用户的电脑。
“感染虫下载器1097504”(Win32.VB.za.1097504),这是一个感染型病毒。病毒会将正常文件附加在自己末尾,当用户运行被感染的程序时,病毒会连接到网络下载病毒,同时将正常文件以隐藏的系统属性释放到当前目录运行。这样,用户就会以为程序是正常的。
一、“黑客木马下载器1367552”(Win32.Troj.DownLoader.se.1367552) 威胁级别:★★
该木马运行后,读取资源,释放病毒文件1sass.exe到%WINDOWSt%\system\目录,并立即启动该文件。然后创建一个批处理文件删除自己的原始文件,让用户以后即便发现电脑异常也找不到毒源。
随后,病毒将1sass.exe以系统服务的名义添加到系统注册表中,骗过用户的注意,同时让自己实现开机自动运行之目的。
如果病毒服务得以启动,它会连接黑客网站http://nb.******.com/list.txt下载一份记录有病毒列表的文本文件,根据该列表中的网址下载其它的木马到用户电脑上运行。经过毒霸反病毒专家的分析,发现被下载的木马是一个远程控制软件,如果该木马被顺利安装,黑客就可以完全控制用户的电脑,进行任何他想要的操作。
二、“感染虫下载器1097504”(Win32.VB.za.1097504) 威胁级别:★
病毒进入电脑后,迅速开始运行。它会扫描硬盘全部分区,查找EXE格式的可执行文件进行感染。受到感染的文件会被附加到病毒的尾部,而图标不变。当用户运行被感染的文件后,病毒就会将正常文件以隐藏的系统属性释放到当前目录运行。这样,用户就不会察觉系统异常。
当感染后的文件被运行,病毒会连接黑客指定的网络地址http://down.XXXX.cn/d.exe下载其他病毒。若系统中安装得有防火墙,就可发现一些本不需用访问网络的程序企图访问网络。
至于识别病毒文件方法,用户可留意文件名。被病毒释放出来的文件,文件名最后加了个空格,如“abc.exe”会释放出“abc.exe ”。
金山反病毒工程师建议
1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。
