【賽迪網-IT技術報道】“延遲下載器81920”(Win32.Troj.VB.kr.81920),這是個木馬下載器。它會將自己設為管理員許可權,映像劫持大量的殺毒軟體。然後從指定網址下載大量其他木馬程式。
“頑固下載器71168”(Win32.TrojDownloader.PurityScan.71168),這是個木馬下載器程式。此毒為了對抗反病毒廠商和高級用戶的查殺,進行了較多的偽裝,並且釋放出的病毒文件路徑及文件名均可變。
一、“延遲下載器81920”(Win32.Troj.VB.kr.81920) 威脅級別:★★
這個下載器在進入用戶電腦後,不會馬上運行,它會先等待10分鐘。
10分鐘後,病毒運行起來,它會搜尋並強行中止麥咖啡、瑞星、木馬剋星、360安全衛士等安全軟體的進程,以便自己隨後的行動能順利完成。如果發現一些具有主動防禦功能的安全軟體無法中止,那麼它還會連接病毒作者指定的地址,下載相應的驅動文件來恢復SSDT表。
為確保能完全清除自己可能受到的威脅,病毒建立映像劫持,劫持名單中包括了知名品牌的安全產品,以及一些系統安全工具。
解決掉安全軟體的威脅,病毒就從指定地址http://ps.**go52o.com下載一份病毒列表,以vbb.exe的名稱保存到%windows\%system32\目錄下運行,然後利用它下載更多其他病毒。
該毒也試圖中止毒霸的進程,不過經檢驗無效。
二、“頑固下載器71168”(Win32.TrojDownloader.PurityScan.71168) 威脅級別:★
該下載器在用戶電腦中的運行原理很簡單,和其他大多數下載器一樣,都是釋放出病毒文件、添加自己到啟動項,然後下載病毒。但是,該毒在對抗殺毒廠商和高級用戶的分析查殺方面,具有較強能力。
它在運行之前,會先檢查自己是否在虛擬機中,如果是,就會執行一些偽裝代碼。同時,它隨機更改病毒文件的釋放目錄,躲避檢查。不過,毒霸反病毒工程師檢查後發現,它的主文件始終為以下兩個路徑:
“c:\Documents and Setting\[username]\Application Data\system32\explorer.exe”
“c:\programs Files\security\scanregw.exe”
|
至於其他的附屬文件,由於數量較多,且無固定路徑,就不一一列舉。病毒如果得以成功運行,它就會從http://nf.o****info.com/notify.php這個由病毒作者指定的地址下載一份病毒列表,再根據其中的地址,下載更多別的木馬。帶來無法估計的麻煩和損失。
金山反病毒工程師建議
1.最好安裝專業的殺毒軟體進行全面監控,防範日益增多的病毒。用戶在安裝反病毒軟體之後,應將一些主要監控經常打開(如郵件監控、記憶體監控等)、經常進行升級、遇到問題要上報,這樣才能真正保障電腦的安全。
2.由於玩網路遊戲、利用QQ等即時聊天工具交流的用戶數量逐漸增加,所以各類盜號木馬必將隨之增多,建議用戶一定要養成良好的網路使用習慣,如不要登錄不良網站、不要進行非法下載等,切斷病毒傳播的途徑,不給病毒以可乘之機。
(責任編輯:董建偉)
