客服电话:400 610 7777
“自毁型下载器36864”(Win32.Troj.Downloader.if.36864),这是一个木马下载器。它会下载其它的木马文件,下载完成后就删除自己,防止被用户发现。
“记录员下载器105984”(Win32.TrojDownloader.Unknown.105984),这是一个具有盗号功能的木马下载器。它运行后会下载自己的另一个模块,然后记录用户操作电脑时所输入的数据。
一、“自毁型盗号器36864”(Win32.Troj.Downloader.if.36864) 威胁级别:★
此毒为木马下载器。它的运行原理非常简单,毒霸能轻易查杀它。就毒霸反病毒工程师目前分析的结果来看,它仅对那些几乎“裸奔”的电脑有威胁。
该毒进入系统后,在当前目录下运行起来。它在后台调用IE浏览器的进程,实现隐蔽的运行,并连接到http://n.ne**k.cn/soft/4/这个由病毒作者指定的远程地址,执行下载。
被下载到电脑里的是一些盗号木马程序,它们的.exe文件名称为0至6的数字,隐藏在%WINDOWS%\system32\目录下。当下载完成后,病毒就删除自己,防止被用户发现。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-troj-downloader-if-36864-50893.html
二、“记录员下载器105984”(Win32.TrojDownloader.Unknown.105984) 威胁级别:★
病毒创建进程将自身文件BITS.DLL复制到%WINDOWS%\system\目录下,增加注册表启动项,实现开机自启动,然后就提权创建自身的文件映射。
在这里,病毒有个狡猾之处,它将映射名称采用为“_kaspersky”,试图伪装成杀毒软件卡巴斯基。如果用户在没有安装卡巴的机器上发现了这样的文件映射,那很可能是已经感染了此毒。
该毒运行起来后,就从指定的远程地址下载一个名为kvmon.exe的文件,并为其创建进程运行。这个文件是病毒用于执行盗号的模块,它会记录当前窗口以及键入的内容和时间,写入到当前目录的info.dat目录下,并发送到xwd***2008.3322.org:8000这个由病毒作者指定的地址。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-trojdownloader-unknown-105984-50894.html
金山反病毒工程师建议
1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.由于玩网络游戏、利用QQ等即时聊天工具交流的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,如不要登录不良网站、不要进行非法下载等,切断病毒传播的途径,不给病毒以可乘之机。
金山毒霸反病毒应急中心及时进行了病毒库更新,升级毒霸到2008年8月26的病毒库即可查杀以上病毒;如未安装金山毒霸,可以登录http://www.duba.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816,反病毒专家将为您提供帮助。
标签: