“漏洞下载器5802”（JS.Downloader.vz.5802），这是一个病毒下载器。它利用WINDOWS系统的MS06-014漏洞，以及BaiduBar（百度搜霸工具条），PPStream（PPS网络电视）的漏洞来进行非法下载行为，将更多的病毒下载到用户电脑中运行。

　　“伪装进程下载器208896”（Win32.Troj.Agent.208896），这是一个木马下载程序。该程序图标为Windows默认可执行文件图标，病毒扩展名为exe，主要通过网页木马、文件捆绑方式传播。

　　一、“漏洞下载器5802”（JS.Downloader.vz.5802） 威胁级别：★

　　这个下载器主要是利用网页挂马的方式进行传播，它可根据用户系统的实际情况，利用多款软件的安全漏洞实施下载行为，具有一定的智能型。

　　毒霸反病毒分析师检查后发现，这个病毒是一个脚本文件，可轻易挂到安全性能较差的网站上，进入用户系统后，它立即检查用户电脑中是否存在WINDOWS系统的MS06-014漏洞，以及 2.0.2.144版本的BaiduBar.dll和2.0.1.3829版本的PPStream。

　　如果有，病毒就利用它们，在用户无法知晓的情况下建立远程连接，从病毒作者指定的网站http://web.ha****liang.com//dm/下载更多其它病毒。

　　如果系统或第三方软件的漏洞不即时修补，那么不论杀毒软件如何升级，都无法有效防护系统安全，因此，一定要及时打好安全漏洞的补丁。

　　关于该病毒的详细分析报告，可在金山病毒大百科中查阅 http://vi.duba.net/virus/js-downloader-vz-5802-50592.html

　　二、“伪装进程下载器208896”（Win32.Troj.Agent.208896） 威胁级别：★

　　病毒进入系统，就在系统盘的%Documents and Settings%\fish\Local Settings\History\History.IE5\MSHist012008050620080507\目录下释放出病毒文件index.dat，然后遍历进程，检测当前进程中是否存在卡巴斯基的进程AVP.exe，若存在则修改当前系统时间，使卡巴不能正常运行。

　　然后，病毒在系统中搜索onime.exe、internat.exe、ctfmon.exe、explorer.exe等进程文件名，若发现其中之一，则执行自己释放在%WINDOWS%\system32\dllcache\目录下的同名程序。这样，它就能光明正大地运行起来，而用户会认为那是正常的系统文件。

　　接下来，病毒会隐藏“Windows 文件保护”的窗口，试图阻止用户手动查杀。然后就建立远程连接，依次访问下载列表中的网站，将多种病毒和木马程序下载到系统的临时目录中运行。经毒霸反病毒工程师检查，它所下载的病毒大部分为破坏系统安全模块和盗取游戏帐号信息的木马。

　　关于该病毒的详细分析报告，可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-troj-agent-208896-50593.html

　　金山反病毒工程师建议

　　1.最好安装专业的杀毒软件进行全面监控，防范日益增多的病毒。用户在安装反病毒软件之后，应将一些主要监控经常打开（如邮件监控、内存监控等）、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。

　　2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，及时升级杀毒软件，开启防火墙以及实时监控等功能，切断病毒传播的途径，不给病毒以可乘之机。

　　金山毒霸反病毒应急中心及时进行了病毒库更新，升级毒霸到2008年5月10的病毒库即可查杀以上病毒；如未安装金山毒霸，可以登录http://www.duba.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816，反病毒专家将为您提供帮助。

关注度: 1%

浏览次数:2

伪装进程下载器, 漏洞下载器

此条发布在 星期五, 05月 9th, 2008 at 7:01 pm 病毒预警. 您可以通过 RSS 2.0 获得最新评论. 您可以到文章末尾留言。