客服电话:400 610 7777
“连环释放下载器487424”(Win32.PatchedZ.j.487424),这是一个感染型病毒下载器。它利用感染和捆绑其它文件来实现传播。进入电脑后就感染系统中的winlogo.exe文件,再利用该文件的自动启动实现运行,然后从网上下载其它病毒。
“广告枪手45056”(Win32.TrojDownloader.Agent.45056),这是一个木马下载器。它会破坏一些安全软件的正常运行,然后下载其它病毒。还会弹出一些广告页面。
一、“连环释放下载器487424”(Win32.PatchedZ.j.487424) 威胁级别:★
该下载器近来变种数量增加较快,它们利用一系列复杂的释放过程来实现作案,表现出病毒作者的谨慎。不过毒霸依然可以对其进行查杀。
当被病毒感染或捆绑的文件进入用户电脑后,病毒文件main.sys就会随着这些文件的运行得到释放。它会隐藏到%WINDOWS%\system32\目录下,并进一步释放出病毒文件ws2_32.dll:fork2或wsys.dll。
main.sys使用驱动感染技术,搜索并修改操作系统程序winlogon.exe,在其中添加ws2_32.dll:fork2的病毒代码。这样,电脑在重启后,病毒就可以随着被修改的winlogon.exe开始执行。
如果顺利运行起来,病毒的dll文件就在系统盘临时目录%temp%下释放出文件svchost.exe并执行,这个文件会注入IE浏览器的进程,悄悄下载并执行其它恶意软件。由于svchost.exe这个文件即便在正常的系统中也会同时存在多个,因此,用户很难发现系统里出现了多余的进程。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-patchedz-j-487424-50750.html
二、“广告枪手45056”(Win32.TrojDownloader.Agent.45056) 威胁级别:★★
这个下载器没有固定的文件名称,它进入系统后就在%WINDOWS%目录下释放出随机命名的.tmp格式病毒文件。
这个文件是病毒的驱动程序,它会阻止一些常见的安全软件以及系统中自带的安全模块的运行。如果用户试图运行安全软件,会收到提示,说它们不是有效的win32应用程序,无法运行。
既然失去了安全软件的保护,那么病毒就可以为所欲为。它在后台悄悄连接病毒作者指定的远程地址,下载一些广告木马,然后频繁地弹出广告页面,对用户构成骚扰。让人十分心烦。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-trojdownloader-agent-45056-50751.html
金山反病毒工程师建议
1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.由于玩网络游戏、利用QQ等即时聊天工具交流的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,如不要登录不良网站、不要进行非法下载等,切断病毒传播的途径,不给病毒以可乘之机。
金山毒霸反病毒应急中心及时进行了病毒库更新,升级毒霸到2008年6月30的病毒库即可查杀以上病毒;如未安装金山毒霸,可以登录http://www.duba.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816,反病毒专家将为您提供帮助。
标签: