“感染蠕虫下载器995328”（Worm.AutoRun.dj.995328） 威胁级别：★★

　　这个蠕虫病毒和它的同类相比，基本原理相近，都是利用感染正常文件的方式实现传播。它本身对系统不具备破坏能力，真正危害在于，该毒在进入系统后，会连接病毒作者指定的地址，下载更多的病毒文件。

　　病毒随着被感染的文件进入用户系统，它在系统盘的创建目录%windows%目录下创造出一个“Tasks”目录，然后将病毒文件0×01xx8p.exe、spoolsv.ext、SysFile.brk释放到其中，同时在%WINDOWS%目录中生成病毒文件spoolsv.exe。完成这一步骤，病毒就删除自己的原始文件，让用户难以发现它的痕迹。

　　接下来，病毒搜索exe格式文件，将要感染的病毒代码赋值到缓存，把被感染文件的最后一个节改名为.WYCao，注入被感染代码和自身病毒体，感染成功后替换原文件。这样，它就能随着该文件的复制实现传播。与此同时，病毒遍历进程，查找并试图强行关闭金山毒霸、江民、瑞星等杀毒软件的进程。不过经毒霸反病毒工程师检验，这些操作都无法实现。

　　最后，病毒读取之前释放出的下载列表spoolsv.ext，在用户无法察觉的情况下连接远程服务器http://2**p.cn/，下载大量其它病毒和最新的配置文件，从而实现真正的破坏。

　　关于该病毒的详细分析报告，可在金山病毒大百科中查阅 http://vi.duba.net/virus/worm-autorun-dj-995328-50569.html

　　此外值得关注病毒

　　“AUTO分身下载器70144”（Worm.Delf.az.70144） 威胁级别：★★

　　这个病毒是一个下载器，由于使用了AUTO技术，它的传播能力较高。该毒进入系统后，立刻在系统盘%WINDOWS%\System32\目录下释放出病毒文件Extensionsk.exe，并将该文件复制到所有的磁盘分区根目录下，同时生成的还有指向该文件的autorun.inf文件。只要有了这两个文件，该病毒也就具备了AUTO传播的能力。如果用户在中毒电脑上使用U盘等移动存储设备，病毒就能自动复制到该设备中。

　　接下来，病毒会修改系统注册表，将Extensionsk.exe设置为启动项，实现开机自动运行。只要实现这一步，病毒会马上把系统时间改为2005-10-31，让依赖系统时间进行激活和升级的安全软件瘫痪，并添加映像劫持项目，劫持目前较为常见品牌的杀毒软件，让它们失效。如果用户试图启动这些杀毒软件，只会不断激活病毒。

　　然后，病毒试图连接病毒作者指定的远程服务器http://www.h***ui.org/UpFile/UpFace，下载其它病毒文件到用户电脑中运行。不过毒霸反病毒工程师检查后发现，该地址已经失效。

　　在进行以上动作的同时，病毒会删除自己的原始文件，防止被用户找到。并建立两个svchost.exe进程，将自身的病毒代码写入其中运行。这两个svchost.exe会互相监视对方，互为防守，这样一来，用户就算删除掉其中一个，另一个也能瞬间进行恢复。

　　关于该病毒的详细分析报告，可在金山病毒大百科中查阅 http://vi.duba.net/virus/worm-delf-az-70144-50576.html

　　“对抗型广告木马397312”（Win32.Troj.Agent.ll.397312） 威胁级别：★

　　这个病毒是一个广告木马，如果能顺利运行起来，就会弹出大量广告页面，骗取用户点击或刷流量。这一做法和大多数广告木马无异，但它给用户带来的真正麻烦是会关闭一些安全软件的进程，造成电脑丧失防御能力，从而给其它病毒的入侵提供机会。

　　经毒霸反病毒工程师分析，该毒可通过网页挂马、捆绑文件、以及下载器下载等方式进行传播。它进入用户电脑后，会立刻修改系统时间为1987年，造成卡巴斯基等依赖系统时间进行激活和升级的安全软件瘫痪。并紧接着搜索系统中正在运行的进程，如果发现江民、瑞星、360安全卫士等安全软件的进程，就将它们关闭。在此过程中，如过安全软件试图弹出询问提示框，病毒就会抢在窗口显示出来之前，模拟用户操作的信号点击允许选项。

　　接下来，病毒就搜寻IE浏览器的模块，注入其中，并修改系统注册表选项，将自己设置为可随着IE浏览器一同启动。这样，当用户使用IE浏览器时，病毒就能随机弹出病毒作者指定的广告窗口，造成用户误点击，达到为这些广告网站“贡献”网络数据流量之目的。在这个过程中，如果用户安装有“雅虎助手”等IE辅助工具，病毒会阻止这些工具向用户报告IE异常，以便长久地在系统中呆下去。

　　此外，该毒具有自我更新的能力，如果它进入用户系统时，发现系统中有自己以前的版本，就会进行自动更新，并于运行结束后删除自己的原始文件。病毒每次更新的病毒文件共有四个，分别是%WINDOWS%\system32\目录下的ccwlae_080419.exe、ccwld32_080419.dll、ccwld16_080419.dll，以及%Common Startup%目录下的msword.lnk。

　　关于该病毒的详细分析报告，可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-troj-agent-ll-397312-50567.html

　　金山毒霸反病毒工程师建议

　　1.请及时更新您的杀毒软件，网络版可以通过控制台执行全网升级。

　　2.建议手动或使用毒霸来关闭自动播放功能,防止病毒利用U盘等可移动设备来进行传播。

　　3.最好安装专业的杀毒软件进行全面监控。建议用户安装反病毒软件防止日益增多的病毒，用户在安装反病毒软件之后，应该经常进行升级、将一些主要监控经常打开（如邮件监控）、内存监控等，遇到问题要上报， 这样才能真正保障计算机的安全。

　　金山毒霸反病毒应急中心及时进行了病毒库更新，升级毒霸到2008年5月11日的病毒库即可查以上病毒；如未安装金山毒霸，可以登录http://www.duab.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵，拨打金山毒霸反病毒急救电话010—82331816反病毒专家将为您提供帮助。

关注度: 1%

浏览次数:3

AUTO分身下载器, 对抗型广告木马, 感染蠕虫下载器

此条发布在 星期日, 05月 4th, 2008 at 9:25 am 病毒预警. 您可以通过 RSS 2.0 获得最新评论. 您可以到文章末尾留言。