01.09病毒预警:磁碟机变种感染exe文件下载病毒

  “磁碟机变种204808”(Win32.VcingT.ph.204808),这是一个感染型病毒。该病毒运行后,会在各盘产生autorun病毒,并感染所以符合条件的exe文件,造成部分文件损坏。它还会从网络下载更多的病毒,其中含有arp欺骗病毒,会对局域网产生极大影响。毒霸目前已可修复被感染exe文件。

  “木马下载器69632”(Win32.PSWTroj.OnLineGames.69632),这是一个下载者木马。它在后台运行IE浏览器和记事本,并在其中创建线程,连接黑客网站下载其他木马病毒。它还会感染特定的文件,并且在每个盘符下创建Auto病毒文件,导致用户双击磁盘时就会运行木马文件。

  一、“磁碟机变种204808”(Win32.VcingT.ph.204808)威胁级别:★★

  病毒进入用户的电脑系统后,会在系统盘中释放出7个病毒文件,分别为%WINDOWS%\system32\Com\目录下的lsass.exe、smss.exe、netcfg.dll、netcfg.000,c:\WINDOWS\system32\目录下的dnsq.dll,c:\WINDOWS\system32\drivers\目录下的alg.exe,以及系统盘根目录下的037589.log。此外,病毒还会在所有磁盘分区中,生成AUTO病毒autorun.inf和相应的pagefile.pif病毒文件,只要用户用鼠标左键双击含毒磁盘分区,病毒就会再次被激活。如果用户在中毒电脑上使用U盘等移动存储器,病毒也会立即将其传染,借以扩大自己的传播范围。

  随后,病毒篡改系统相关数据,将自己添加到系统盘“%DocumentsandSettings%\AllUsers\「开始」菜单\程序\启动\~.exe.xxxxxx”路径下,进行自启动(xxxxxx为随机数字)。然后,它迅速破坏电脑中已安装的安全软件的运行,几乎所有著名厂商的产品都在该病毒的“黑名单”中。

  病毒运行后,大量感染所有非系统盘分区下的exe文件,连rar、zip压缩包内的exe文件也不放过。同时它还感染htm、html等格式的网页文件,添加挂马代码。如果电脑已连接网络,病毒就会先访问http://w.XXX.com/r.htm这个由黑客指定的地址,获取一个病毒文件列表,然后利用IE浏览器悄悄下载上述列表中的的病毒。被下载的病毒毒中,有盗号木马、ARP欺骗病毒等,它们会给用户的系统安全、个人隐私、虚拟财产造成无法估计的更大破坏。并且,其中的ARP病毒会立即展开对局域网内其它电脑的攻击,造成局域网瘫痪。

  被该病毒感染的文件体积会有所增大,并且只要启动这些文件,病毒就会被激活发作,同时造成部分受感染文件的损坏。不过使用毒霸就可修复绝大多数被感染的文件。

  二、“木马下载器69632”(Win32.PSWTroj.OnLineGames.69632)威胁级别:★★

  病毒顺利潜入用户的电脑系统后,在%WINDOWS%\system32\目录下释放出病毒文件sysload2.exe,随后就修改注册表,将自己加入启动项,实现随系统启动而自动运行之目的。

  当成功运行起来,病毒就在后台悄悄运行IE浏览器和记事本进程,并利用其创建远程线程,从黑客指定的地址“http://a.2*0*ip.com/c*s.css”下载一份病毒列表。然后,根据列表中的地址去下载其它木马病毒到本机上运行,给用户的系统和虚拟财产安全,甚至个人隐私带来无法估计的威胁。

  同时,病毒会搜索系统盘,感染QQ聊天软件、PP点点通、迅雷下载器、BitComet下载器、realplay播放器,以及网络游戏《征途》、《梦幻西游》、《惊天动地》等程序的可执行文件,并在全部磁盘分区的根目录下创建AUTO病毒文件AutoRun.inf和Tool.exe,当用户启动受感染文件、双击含毒磁盘分区,或者在中毒电脑上使用U盘等移动存储器时,病毒就会立即被再次激活。

  金山反病毒工程师建议

  1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。

  2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。

  金山毒霸反病毒应急中心及时进行了病毒库更新,升级毒霸到2008年1月9的病毒库即可查杀以上病毒;如未安装金山毒霸,可以登录http://www.duba.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816,反病毒专家将为您提供帮助。

关注度: 13%

浏览次数:109

, ,

此条发布在 星期二, 01月 8th, 2008 at 6:12 pm 病毒预警. 您可以通过 RSS 2.0 获得最新评论. 您可以到文章末尾留言。

“01.09病毒预警:磁碟机变种感染exe文件下载病毒” 8 条评论»

  1. Gravatar Icon 谭运国
    2008.01.08 8:50 pm

    c:\kingsoft internet security 2008\kaeboot.dat
    这个是病毒么?我的电脑启动后,桌面无法显示快捷方式。可是金山杀毒却显示电脑没有被感染。
    希望能狗帮忙解决这个问题
    最好把方法发到我的邮箱,谢谢。

  2. Gravatar Icon 潘光杰
    2008.01.08 9:48 pm

       金山病毒中心!你们好!
      我想问下一个问题,我的电脑怎么老是弹出一个(Windows-没有软盘)*Exception Processing Message c0000013 P arameters 764ebf9c 4 764ebf9c 764ebf9c 取消 重试(T) 继续(C)   的目录框点X也没有用点上面的任何一个可以点的地方都没有用,它还是总会弹出来,关都关不掉?不知道是不是中了***病毒?请问你们可以给我解释一下吗?我的电脑金山毒霸和金山毒霸木马专杀都是安装有的;查杀也查杀不到一个病毒?不知道你们有没有什么办法解决一下?
                              谢谢!

  3. Gravatar Icon 梦幻玩家
    2008.01.08 10:41 pm

    5555 我好象已经感染这个病毒勒 金山好象没杀掉啊 玩游戏老是自动给关掉勒

  4. Gravatar Icon 孤独
    2008.01.09 4:40 am

    我这几天玩游戏 老掉线 有2次掉线输密码 提示说错误 杀毒说没病毒 还提示有什么东西要修改我电脑的核心资料 不知是不是 有了病毒 怎么解决 请回话

  5. Gravatar Icon yh
    2008.01.09 9:17 am

    Win32.Troj.ExpAni.a.794 拦截成功

    这个病毒怎么老是杀部掉呀 。。。。。杀了 无数此了 每次都说删除成功。。。可再杀又有。。。。。现在我的系统文件都被破坏了

  6. Gravatar Icon Haven·LIU
    2008.01.09 1:54 pm

    整理磁盘时候
    win32.troj.mnless.127244
    win32.whld.agenl.17951
    win32.troj.whld.a.16384

  7. Gravatar Icon 急需帮助
    2008.01.09 4:31 pm

    我是金山老用户,CPU是瑞星3800+的,不过不管是运行啥程序CPU的使用率都在50%以上,我杀毒了也不管用,电脑运行缓慢,请帮帮忙吧?

  8. Gravatar Icon 无聊客服01
    2008.01.11 8:23 pm

    急需帮助
    2008.01.09 4:31 pm
    我是金山老用户,CPU是瑞星3800+的,不过不管是运行啥程序CPU的使用率都在50%以上,我杀毒了也不管用,电脑运行缓慢,请帮帮忙吧?

    老大,你家的CPU是瑞星的?你生产的??不会把,3600+以上都算是AMD的双核CPU,占用50%很正常。如果,感觉慢,查杀一下病毒就好了啦

留言