【賽迪網-IT技術報道】“套娃下載器9032”(PE.WYCao.a.9032),這是一個由組合語言編寫的感染型病毒。它能通過感染EXE文件和利用AUTO技術的方式傳播。當進入用戶系統,就會釋放出下載器程式,建立下載行為,並感染更多正常文件。
“野狗下載器40960”(Win32.Hack.PcClient.40960),這是一個類似于機器狗的木馬下載器。它會嘗試用修改系統時間、解除主動防禦、結束進程等方式,破壞多款安全軟體的正常運行,然後下載大量的木馬程式。
一、“套娃下載器9032”(PE.WYCao.a.9032) 威脅級別:★
這個病毒由於同時採取感染和AUTO兩種方式,傳播的速度較快。在進入了用戶電腦、並且被激活後,它就搜尋電腦中的正常exe文件,將自己附加到它們的前面,實現感染。並且像套娃一樣,釋放出另一個病毒文件windows.ext。
嚴格的說,這個病毒只是一個純粹的感染工具。它真正的實現下載行為,是依靠由它釋放出的Windows.ext這個文件,這個文件才是下載器程式。Windows.ext的真實身份是Win32.Troj.Autorun.978944下載器。它被釋放出來後,就在全部的磁片分區中建立AUTO文件,以提高整個病毒的傳播效率。
同時,Windows.ext會在後臺悄悄連接遠程地址,下載其他病毒文件執行。經毒霸反病毒工程師檢查,它所下載的是一些盜號木馬,如果順利進入用戶電腦,可能會給用戶的虛擬財產造成損失。
二、“野狗下載器40960”(Win32.Hack.PcClient.40960) 威脅級別:★★
機器狗病毒的新變種已經很久沒有在我們的視線中出現。但很多與它類似的木馬下載器依舊不斷冒頭。此篇播報中的就是這樣一個病毒。它同樣擁有大量的變種。
病毒在進入用戶電腦後,會馬上獲取當前進程,把進程許可權提升為管理員許可權,獲取原始的SSDT服務函數,將SSDT表恢復,從而讓一些殺毒軟體的主動防禦功能失效。同時,它修改系統時間為2000年,讓卡巴斯基等依賴系統時間進行升級和激活的殺毒軟體失效。
另外它還嘗試搜索並關閉殺毒軟體金山毒霸、瑞星,以及安全輔助軟體360的進程。
當完成以上步驟,病毒便釋放出自己的代碼,注入系統桌面explorer.exe,悄悄在後台啟動IE瀏覽器的進程,連接http:/ /w**a.xst2.cn這個由病毒作者指定的遠程地址,下載一份病毒列表,再根據列表中的地址下載數量驚人的網遊、網銀盜號木馬。
金山反病毒工程師建議
1.最好安裝專業的殺毒軟體進行全面監控,防範日益增多的病毒。用戶在安裝反病毒軟體之後,應將一些主要監控經常打開(如郵件監控、記憶體監控等)、經常進行升級、遇到問題要上報,這樣才能真正保障電腦的安全。
2.由於玩網路遊戲、利用QQ等即時聊天工具交流的用戶數量逐漸增加,所以各類盜號木馬必將隨之增多,建議用戶一定要養成良好的網路使用習慣,如不要登錄不良網站、不要進行非法下載等,切斷病毒傳播的途徑,不給病毒以可乘之機。
(責任編輯:董建偉)
