“长寿下载器43008”(Win32.TrojDownloader.Delf.43008),这是一个下载者木马。该病毒运行成功后,会立即在后台下载海量盗号木马。并且只要系统能联网,它就会不停地在后台进行下载工作。使用户的机器出现运行缓慢,甚至出现死机症状。一般用户无法察觉,不过使用系统清理专家便可看出后台下载的病毒。
“安全破坏者下载器”(Win32.Troj.DownloaderT.hy.27648),这是一个下载者木马。它采用覆盖感染的方式感染系统explorer.exe文件以达到随系统启动而启动,它会隐藏“Windows文件保护”的对话框窗口,并修改系统时间为2001年,导致依赖时间进行激活的杀毒软件失效。最后下载一个病毒列表,根据该列表下载木马到本机并运行。
一、“长寿下载器43008”(Win32.TrojDownloader.Delf.43008) 威胁级别:★★
病毒运行成功后,在系统盘中释放出六个病毒文件,分别为%windows%目录下的WSockDRV32.EXE、NVDispDRV.exe、upxdnd.exe、DbgHlp32.exe,以及系统桌面目录下的2.exe、a.exe。同时,病毒将它们的相关数据写入系统注册表启动项,使自己可以在以后每次用户启动电脑时都跟着自动运行起来。
一旦病毒开始运行,它立即从http://*ii.ch**p.net/wm这个由木马种植者指定的地址下载众多的病毒文件,把它们先存放在到IE缓存中,然后再隐藏到系统的各角落里。用户如果注意检查WINDOWS文件夹、SYSTEM32文件夹或是其他关键的文件夹,可发现多出了一些莫名的病毒可执行文件。而这些病毒可执行文件,均有盗号或下载病毒的功能。
如果使用系统清理专家扫描恶意软件,可发现系统中竟然同时运行着多达10项的恶意软件,其中包括有“大话西游”、QQGAME等游戏的盗号木马,还有通过MSN发送的相片病毒。
被病毒袭击的系统,系统资源会被逐渐占用,运行起来会变得越来越慢,即便用户重启电脑,病毒仍然会连接网络,继续下载行为。进入病毒发作后期,电脑甚至会出现死机的情况。
二、“安全破坏者下载器”(Win32.Troj.DownloaderT.hy.27648) 威胁级别:★★
病毒进入系统后,会先搜索系统盘的%WINDOWS%\system32\dllcache\目录下是否有自己的病毒文件conime.exe、internat.exe、ctfmon.exe、explorer.exe,只要发现其中任何一个,就立即修改系统注册表,将自己的数据加入启动项,实现开机自启动。如果该目录下没有这些文件,它就先释放全部的病毒文件到该目录下,然后再修改注册表。
当病毒运行起来后,它创建线程,擅自调用Window命令循环查找“Windows文件保护”程序的窗口,并将其隐藏起来,以阻止用户查杀自己。
接着,病毒在后台悄悄连接木马种植者指定的地址http://down.*****.cn/,下载一个病毒列表文本。如果它可以顺利按照列表中的网址,下载其它更多病毒到用户电脑上运行,将给用户系统造成更多难以想像的破坏。
此外,该病毒具有一定的自我更新功能,它在下载病毒列表时,会根据自身版本号判断是否有新版本,如果有新版本的话则下载并运行。
金山反病毒工程师建议
1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。