“漏洞下载器1320”（VBS.Downloader.v.1320），这是一个木马下载器程序。它利用Microsoft Data Access Components (MDAC) 实现缺陷的漏洞来展开下载行动，从病毒作者指定的地址下载木马程序执行。

　　“桌面感染者7005”（Win32.InjectEx.nb.7005），这是一个感染型文件。它会释放出病毒，继续感染其他文件。当用户运行被感染的文件时，病毒会调运正常的文件来，同时悄悄搜寻正常文件进行感染。

　　一、“漏洞下载器1320”（VBS.Downloader.v.1320） 威胁级别：★

　　病毒进入用户电脑后，立即判断系统中是否存在Microsoft Data Access Components (MDAC) 的MS06-014漏洞，如果有，就利用它来绕过系统自身的安全模块，连接病毒作者指定的远程地址。

　　病毒作者安排的远程地址为http://www.8y**en.cn/，病毒会从上面下载一个木马文件，将其放置在系统盘的临时目录%tmp%中，命名为svchost.exe。由于svchost.exe即便在正常的系统中也可能同时存在多个，用户将难以判断哪个svchost.exe才是病毒进程。

　　毒霸可以清除该毒，因此安装了毒霸的用户不必担心。不过，系统漏洞对电脑安全来说是极大的威胁，因此，如果还没打上补丁，那么还是需要尽快更新系统，防止不断的有病毒利用漏洞发起攻击。

　　关于该病毒的详细分析报告，可在金山病毒大百科中查阅 http://vi.duba.net/virus/vbs-downloader-v-1320-50621.html

　　二、“桌面感染者7005”（Win32.InjectEx.nb.7005） 威胁级别：★

　　此病毒具有较高的感染性，它利用感染EXE格式的可执行文件来实现传播。病毒在进入系统后，本身并不会立即运行，而是需要用户运行了被感染的文件后，它才能随着运行起来。

　　被感染的文件被激活后，病毒就会被释放出来。它首先会感染%Windows%下的Explorer.exe，并将感染后的Explorer.exe拷贝到系统盘的%WINDOWS%\dllcache\目录下。然后把正常的Explorer.exe拷贝到系统临时目录%Temp%下，重命名为lorer.exe。

　　完成以上步骤后，病毒就可以在用户启动电脑后，随着桌面进程一通运行起来，搜寻更多文件进行感染。

　　病除非法入侵系统外，此毒对系统安全没有明显的破坏行为，但不排除病毒作者在以后的变种中增加破坏行为的可能。毒霸反病毒工程师发现，病毒作者为阻止别人查杀该毒，给病毒的许多指令都进行了加密。不过，毒霸依然可以清除该毒。

　　关于该病毒的详细分析报告，可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-injectex-nb-7005-50622.html

　　金山反病毒工程师建议

　　1.最好安装专业的杀毒软件进行全面监控，防范日益增多的病毒。用户在安装反病毒软件之后，应将一些主要监控经常打开（如邮件监控、内存监控等）、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。

　　2.由于玩网络游戏、利用QQ等即时聊天工具交流的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，如不要登录不良网站、不要进行非法下载等，切断病毒传播的途径，不给病毒以可乘之机。

　　金山毒霸反病毒应急中心及时进行了病毒库更新，升级毒霸到2008年5月23的病毒库即可查杀以上病毒；如未安装金山毒霸，可以登录http://www.duba.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816，反病毒专家将为您提供帮助。

桌面感染者, 漏洞下载器

此条发布在 星期五, 05月 23rd, 2008 at 9:25 am 病毒预警. 您可以通过 RSS 2.0 获得最新评论. 您可以到文章末尾留言。