客服电话:400 610 7777
“广告弹射木马”(Win32.Adware.AdMoke.mp),这是一个广告风险程序。该程序会擅自增加浏览器的插件,并将自己设为自启动。当用户打开浏览器时,会自动弹出一些广告网页。
“AUTO下载者135168”(Win32.Troj.DownloaderT.bb.135168),这是一个木马下载者。该木马程序还会感染本机和局域网共享主的exe.scr文件,并在移动存储设备的根目录下生成AUTO病毒文件。
一、“广告弹射木马”(Win32.Adware.AdMoke.mp) 威胁级别:★
病毒进入用户的电脑系统后,会在系统盘中释放出两个病毒文件,其中病毒文件CmdBar.ini被释放到%Program Files%\Common files\Microsoft Shared\目录下,而另一个名为RunSetup.exe的文件被释放到%Program Files%\Common Files\System\目录下。
随后,病毒修改系统注册表启动项中的相关信息,将自己设置为随系统启动而自动运行,这样以后每次用户开机时,它都能跟着跑起来。
同时,病毒修改注册表中IE浏览器的部分数据,将IE为其所用,只要用户启动IE浏览器,病毒就会利用IE弹出广告窗口,将用户引导到木马种植者指定的网站,为这些网站“贡献”出流量和点击率。
二、“AUTO下载者135168”(Win32.Troj.DownloaderT.bb.135168) 威胁级别:★★
病毒顺利进入用户的电脑系统后,首先会在系统盘中释放出四个病毒文件,分别为%ProgramFiles%\common files\目录下的m1.exe、m2.exe、m3.exe,以及%windows%\system32\目录下的wincom.exe,这些文件中的任何一个被成功释放,病毒都能运行起来。
文件释放结束,病毒立即开始运行。它在用户无法察觉的情况下启动IE浏览器的进程,创建远线程,从木马种植者指定的地址http://ee.*v**av.com下载完整的自身程序到本地运行。如果用户注意检查系统盘中的%ProgramFiles%\common files\目录,就会看到名为m1.exe、m2.exe、m3.exe的病毒文件已被下载。
同时,该木马程序还会感染本机和局域网内其它电脑中的exe和scr格式的文件,被感染后的文件运行后,会再次从http://ee.*v**av.com下载感染源。
另外木马程序还会查找已连接到中毒电脑上的U盘等移动存储设备,若查找到则会在移动设备生成autorun.inf文件和autorun.vbs文件,同时将自己以“autorun.exe”的命名拷贝到移动存储设备根目录中,利用移动存储器来扩大自己的传播范围。
金山反病毒工程师建议
1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。
金山毒霸反病毒应急中心及时进行了病毒库更新,升级毒霸到2008年2月18的病毒库即可查杀以上病毒;如未安装金山毒霸,可以登录http://www.duba.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816,反病毒专家将为您提供帮助。
标签: