客服电话:400 610 7777
“感染型下载器102400”(Win32.ADA.a.102400),这是一个下载器程序。它会感染用户电脑里的EXE、HTM、HTML、PHP、ASP等格式的文件,然后从网上下载恶意程序执行。该毒还具有一定程度的对抗能力,会破坏一些安全软件的正常运行。
“感染广告机159936”(Win32.Adware.CDN.159936),这是一个广告程序。它会在磁盘中释放出大量文件,然后连接IE浏览器到指定的广告网站。它还可以利用感染正常文件来传播。
一、“感染型下载器102400”(Win32.ADA.a.102400) 威胁级别:★★
病毒进入电脑后,获取系统的部分函数地址,利用它们来加载自己,释放出病毒文件1.tmp_bak.exe 到%Documents and Settings%\Administrator\Local Settings\Temp目录下。
它会查找%WINDOWS%\system32\目录下的mssmss.exe,若发现没有这个文件,就将自己以此名称拷贝到该地址,并设置属性为系统|隐藏。
当修改完注册表,实现开机自启动,该毒开始感染系统中的文件。它搜索所有的EXE、HTM、HTML、PHP、ASP等格式文件,把自己的病毒代码附加上去。这样就能随着这些文件的复制实现传播。
此下载器还具有一定程度的对抗能力,当成功运行起来,它会搜索并关闭360安全卫士,同时修改系统时间,另依赖系统时间运行的卡巴斯基等安全软件瘫痪。
以上步骤全部完成后,病毒就连接http://i***en.yh****s.com/iedown/down这个由病毒作者指定的远程服务器,下载大量的木马文件。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-ada-102400-50835.html
二、“感染广告机159936”(Win32.Adware.CDN.159936) 威胁级别:★
这个下载器释放出的文件非常多,其中主要文件Setup705.exe、setup1417.exe、yoyo1021.exe、44.exe、player.exe等,会被释放到%Program Files%目录下。
释放完毕后,病毒修改注册表,利用WINRAR、WindowsMediaPlayer等系统进程做伪装。当用户启动电脑,它便在后台悄悄调用这些进程,在它们里面运行自己,实现隐蔽运行之目的。
接着,它就调用IE浏览器,连接病毒作者指定的网站42.*2.**1.118,下载自己的最新版本,同时弹出新版本中指定的网页,强迫用户浏览,为这些网页刷流量。
此外,该下载器的一些变种,会利用感染正常的exe文件实现传播。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-adware-cdn-159936-50836.html
金山反病毒工程师建议
1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.由于玩网络游戏、利用QQ等即时聊天工具交流的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,如不要登录不良网站、不要进行非法下载等,切断病毒传播的途径,不给病毒以可乘之机。
金山毒霸反病毒应急中心及时进行了病毒库更新,升级毒霸到2008年7月28的病毒库即可查杀以上病毒;如未安装金山毒霸,可以登录http://www.duba.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816,反病毒专家将为您提供帮助。
标签: