客服电话:400 610 7777
“碎骨魔”(Win32.VirInstaller.Agent.80896) 威胁级别:★★
这个木马程序早在去年就已出现,被毒霸列入黑名单。但近来它的变种又活跃起来,且这些变种具有较强的破坏能力。
它在进入用户系统后,%WINDOWS%\system32\下释放出三个随机命名的.cpx格式文件,随后便修改注册表,将释放出的文件添加到启动项中,使自己实现开机自启动。同时,它破坏注册表中关于系统安全模式的数据,让用户即便发现系统异常也无法进入安全模式执行手动杀毒。
当病毒顺利运行起来,它就篡改被感染计算机上的系统时间,致使一来系统时间进行激活和升级的安全软件失效。并且,它在被感染的计算机上搜索全部与安全相关的软件,一旦发现便强行将其关闭。由于其黑名单中包含了大部分常见的安全相关软件,用户电脑的安全性将大大降低。
在运行的后期,病毒的破坏行为变得让人气氛,它会搜索并破坏除系统盘目录以外的全部exe文件,且破坏后很难修复,给受害用户带来无法估计的损失。目前毒霸暂时无法完全修复它给文件带来的破坏,因此广大用户需提高警惕。不过,只要升级毒霸到最新版本,就可以抢先查杀该毒,防患于未然。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-virinstaller-agent-80896-50684.html
此外值得关注病毒
“木马攻击模块4608”(Win32.Troj.AgentT.ff.4608) 威胁级别:★★
日渐流行的对抗型下载器,如机器狗、磁碟机等,都具有一个专门用于对抗安全软件的模块。本篇预警播报中的病毒,正是一个这种功能的木马模块。
这个模块是一个驱动文件。当它随着整个木马进入用户电脑后,就会被释放出来。它把自己的一个函数注册为系统运行时需要调用的函数,还原系统SSDT表,如果这个动作成功,就可以解除一些具有所谓主动防御功能的杀毒软件的武装。
接着,它继续修改系统中的数据,将磁盘驱动、桌面驱动等驱动文件,以及系统调度服务的部分函数破坏,令用户无法正常操作系统。
如果在用户电脑中发现加密狗等加密软件,此木马模块也会修改它们的部分数据,将它们的函数指向自己,从而使加密软件失效。
当病毒作者将这一木马模块配置到任何一个别的木马上时,那些木马也就具备了对抗安全软件的能力。毒霸反病毒工程师认为,这种情况代表着病毒制造者的分工继续细化了。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-troj-agentt-ff-4608-50731.html
“江湖医生45056”(Win32.TrojDownloader.Zlob.45056) 威胁级别:★★
诈骗型的木马又出现了,这次发现的诈骗木马拥有多个变种,会在用户电脑中安装插件,并把用户引导到一个假的在线杀毒网站。
病毒进入用户电脑后,在原始文件的当前目录下释放出自己的文件sbmdl.dll和sbsm.exe,接着就修改注册表,把文件添加到启动项中,达到开机自动运行之目的。习惯手动查杀的用户需注意,病毒在注册表中的文件名和其真实的名称并不相同,但路径是一致的。
当运行起来,病毒就把自己携带的一个IE插件擅自添加到用户的IE浏览器上,并篡改IE浏览器的默认页面为http://www.g**ei**ool.com/这个由病毒作者指定的地址。
经毒霸反病毒工程师检查,这个页面是个涉及诈骗的网站。只要用户被引导登录该网站,就会被跳转到另一个页面。跳转后的页面会对用户系统进行所谓的“在线查毒”。检查的结果千篇一律,都是说用户系统非常危险,必须购买专门的安全服务。
让用户无可奈何的是,在该网站提供的是否购买服务选项中,只能选“是”,如果用户选“否”,就会不断的弹出询问窗口。这是典型的流氓行为。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-trojdownloader-zlob-45056-50685.html
金山毒霸反病毒工程师建议
1.请及时更新您的杀毒软件,网络版可以通过控制台执行全网升级。
2.建议手动或使用毒霸来关闭自动播放功能,防止病毒利用U盘等可移动设备来进行传播。
3.最好安装专业的杀毒软件进行全面监控。建议用户安装反病毒软件防止日益增多的病毒,用户在安装反病毒软件之后,应该经常进行升级、将一些主要监控经常打开(如邮件监控)、内存监控等,遇到问题要上报, 这样才能真正保障计算机的安全。
金山毒霸反病毒应急中心及时进行了病毒库更新,升级毒霸到2008年7月6日的病毒库即可查以上病毒;如未安装金山毒霸,可以登录http://www.duab.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵,拨打金山毒霸反病毒急救电话010—82331816反病毒专家将为您提供帮助。
标签: