3月24日:“BHO下载器1015296”(Win32.TrojDownloader.Delf.1015296),这是一个木马下载器程序。它会注册为“BHO”插件,随着系统桌面进程Explorer.exe启动,创建独立线程连接网络,下载其它木马程序到用户电脑中运行。
“替身下载器49152”(Win32.TrojDownloader.Guupk.ps.49152),这是一个木马后门程序。该程序会释放WMI测试程序,更改公共信息模型类、实例和方法等,启动IE浏览器从指定网址下载一些木马。
一、“BHO下载器1015296”(Win32.TrojDownloader.Delf.1015296)威胁级别:★★
BHO是微软推出的一种交互接口的业界标准,它使第三方的软件通过简单的代码就可以进入IE浏览器领域的“交互接口”,成为浏览器的一部分,以实现对浏览器进行指定的操作。这个技术本事为了扩展IE的功能,为IE用户提供便利。但是,病毒作者也学会了利用这一技术来控制他人电脑。下面发出预警的这个病毒,就是一个利用BHO传播的木马下载器。
这个病毒进入用户系统后,将病毒文件TDAtOnce_Now.dll释放到系统盘的%DocumentandSettings%\AllUsers\ApplicationData\Intel\Wireless\WLANProfiles\目录下,然后修改系统注册表,将自己注册为BHO插件,劫持了IE浏览器的运行。
以后只要用户启动电脑,病毒就可以随着桌面系统进程Explorer.exe运行起来,然后在用户使用IE浏览器时,悄悄建立远程连接,从http://m*s.*8.com/sg/send2.asp、http://www.j9***3.com等多个由病毒作者指定的远程地址下载木马程序。
预防BHO木马比较有效的方法,是尽可能不要浏览不良网站,也不要去非法下载网站下载资料,并且打开“清理专家”中的网页防挂马功能。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅:http://vi.duba.net/virus/win32-trojdownloader-delf-1015296-50484.html
二、“替身下载器49152”(Win32.TrojDownloader.Guupk.ps.49152)威胁级别:★★
病毒进入电脑后,在系统盘的%WINDOWS%\system32\wbem\Repository\FS\目录下释放出病毒文件INDEX.MAP、MAPPING.VER、MAPPING1.MAP、OBJECTS.MAP,用它们替换掉同名的系统文件,从而达到更改公共信息模型类、实例和方法的目的。一旦替换完成,它就能在用户电脑中肆意破坏了。
接着,病毒在注册表中添加了注册项,实现自动启动之目的,如果用户进行手动查杀,在检查注册表时需留意病毒的启动项名为“EXE”,对应路径为“%ProgramFiles%\CommonFiles\System\GU.exe”。
当完成以上步骤,顺利运行起来,木马会自动连接木马种植者指定的多个站点,下载其它木马到用户电脑上运行。虽然目前木马种植者已经关闭了这些链接,但不排除恢复链接或在升级后的病毒中安排新链接地址的可能。
金山反病毒工程师建议
1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。
