客服电话:400 610 7777
“机器狗变种61440”(Win32.TrojDownloader.Agent.61440),此病毒可通过磁盘驱动,穿透还原,替换原Windows操作系统的启动管理进程userinit.exe。在中毒机器重新起动后,病毒会随着系统自动运行起来,下载各种木马病毒,危及用户帐号的安全。
“木马下载者126976”(Win32.TrojDownLoader.Agent.126976),这是一个木马下载者。它会添加启动项随系统开机启动,然后悄悄连接网络,下载其他的病毒或者木马。这些下载的病毒可能会对系统造成其他破坏,如盗取信息、打开后门等。
一、“机器狗变种61440”(Win32.TrojDownloader.Agent.61440) 威胁级别:★★
病毒进入电脑系统后,会在系统盘中释放出两个病毒文件,一个是%WINDOWS%\System32\drivers\目录下的pcihdd.sys,另一个是%WINDOWS%\System32\目录下的userinit.exe。其中,pcihdd.sys会接替还原卡或冰点的硬盘驱动,而userinit.exe则被用于替换Windows操作系统中同名的启动顺序管理进程。随后病毒修改注册表中的数据,将自己加入启动项,以便以后都能随系统启动而自动运行起来。
一旦完成以上步骤,病毒就会在用户无法察觉的情况下访问多个由木马种植者指定的网址,下载大量其它病毒与恶意插件,进行盗号、收集敏感信息、开启后门等破坏。
更可怕的是,该病毒会通过内部网络传播。只要一台电脑中招,就能引发整个网络的电脑全部自动重启,并令局域网络陷入网络交通拥挤的状态。用户如果使用相应的arp监控软件及路由器监控,可以查看到局域网arp包的异常。此外,该病毒会在运行完毕后删除原始文件,令用户无法找到毒源。
二、“木马下载者126976”(Win32.TrojDownLoader.Agent.126976) 威胁级别:★★
病毒进入系统后,在系统盘%WINDOWS%目录下生成一个隐藏的病毒文件mrofinu.exe。然后,病毒修改注册表,将该文件添加到系统启动项。这是个一劳永逸的动作,这样一来,它以后都能在用户每次开机时随着系统自动运行起来。
如果得以顺利运行,病毒就会在用户无法察觉的情况下建立远程连接,从“http://wr.m**oo.com/re***pu.php?&version=43&c”这个由木马种植者指定的网络地址下载其它木马病毒和恶意程序。
虽然该病毒本身对系统并不构成威胁,但由于它下载下来的木马病毒具有盗取帐号密码、监控敏感信息、打启后门等行为,会对系统造成大量无法估计的破坏,因此对该病毒也需提高警惕。
金山反病毒工程师建议
1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。
金山毒霸反病毒应急中心及时进行了病毒库更新,升级毒霸到2008年2月8的病毒库即可查杀以上病毒;如未安装金山毒霸,可以登录http://www.duba.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816,反病毒专家将为您提供帮助。
标签: