1月2号:“李鬼卡巴42492”(Worm.AutoRun.42492),这是一个下载者木马。它通过修改时间的方法使杀毒软件卡巴斯基失效,同时把自己伪装成卡巴斯基7.0的服务程序,在后台悄悄下载大量的木马病毒文件并运行。此病毒还会在所有磁盘分区的根目录下创建AUTO病毒,以便传播自己。
“平凡下载器变种90112”(Win32.Trojdownloader.Agent.90112),这是一个木马下载者程序变种。病毒运行后会复制自身至系统盘中,并在所有硬盘分区的根目录下生成AUTO病毒。它还会加载一个病毒进程,利用Iexplore.exe在后台连接远程服务器,下载大量病毒及广告。
一、“李鬼卡巴42492”(Worm.AutoRun.42492) 威胁级别:★★
病毒进入用户的系统后,会把自身病毒文件sky.exe复制到系统盘的%WINDOWS%\system32\目录下,并将其属性设为系统隐藏文件,以免被用户发现。紧接着,它就搜索杀毒软件卡巴斯基的进程,如果找到,立即修改系统时间为1981-01-12,导致依赖系统时间卡巴斯基失效,然后,病毒就会试图删除卡巴斯基的服务。
随后,病毒修改系统注册表,把自己的相关信息加入启动项,这样以后它都能随系统启动而自动运行起来。同时,它还会伪装成卡巴斯基7.0的服务程序。从修改时间时算起,15秒后,病毒恢复正确的系统时间,这样,它成功完成“偷天换日”,摇身变成了卡巴的模样,而用户却仍蒙在鼓里。
当病毒顺利地开始运行后,它就在后台建立远程连接,从木马作者指定的地址下载大量其它木马文件,并立刻运行它们。同时,病毒将自身文件sky.exe复制到各磁盘的根目录下,并创建对应的autorun.inf文件,只要用户在中毒电脑上使用U盘等移动存储器,病毒就会立刻将其传染,扩大自己的感染范围。
此外,该病毒具有自我删除的功能,当运行完后,它就在%WINDOWS%\system32\目录下创建一个Deledomn.bat文件,将自己的原始文件删除。
二、“平凡下载器变种90112”(Win32.Trojdownloader.Agent.90112) 威胁级别:★
病毒进入电脑系统后,会在系统盘的%windows%\system32\目录下释放出病毒文件TxHMoU.Exe,并在全部的磁盘分区根目录下都生成AUTO病毒文件SoS.Exe和AUToRUN.Inf,只要用户双击含毒磁盘的盘符,病毒就会立即被激活。而如果用户在中毒电脑上使用U盘等移动存储器,病毒会立刻将其传染,以扩大自己的感染范围。
随后,病毒修改注册表,将自己的相关信息加入其中,实现开机自动启动之目的,并加载之前生成的TxHMoU.Exe文件,在后台打开IE浏览器的进程Iexplore.exe,利用它建立远程连接。从http://xx.5**l*ve.cn这个由木马作者指定地址下载大量其它病毒及广告,给用户的系统安全造成更大威胁,甚至造成用户个人隐私的泄露。
木马作者在进行破坏的同时,还会给自己打打广告,他在病毒中附上自己的名字和联系方式,让人觉得比较嚣张。
金山反病毒工程师建议
1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。
