“远程木马172032”（Win32.Troj.HmirT.yy.172032），这是一个远程控制木马。它会修改注册表中的数据，将用户电脑连接到病毒作者指定的远程地址，接收黑客指令。

　　“杀猪匠”（Worm.AutoRun.m.81920），这是一个木马下载器。它有“黑吃黑”的能力，会除掉与其有竞争的另一个下载器，然后再执行自己的下载任务。它还会修改IE浏览器的默认首页为病毒作者指定的网址。

　　一、“远程木马172032”（Win32.Troj.HmirT.yy.172032） 威胁级别：★

　　该毒进入用户电脑后，就在系统盘%WINDOWS%目录下释放出病毒文件kill.exe和killsetup.exe。病毒在注册表启动项中写入自己的信息，在每次开机时，它会以系统升级服务的名义一同启动。

　　当顺利运行起来，该毒就连接到病毒作者指定的远程网址http://qq.3**61.com/，等待黑客的指令。由于该毒已经获取了系统的管理权限，黑客可以执行任何其想要的操作，这对用户来说是很危险的。

　　该毒的部分变种具有下载器功能，会从上述网址下载一些伪装成图片文件的木马程序。

　　关于该病毒的详细分析报告，可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-troj-hmirt-yy-172032-50903.html

　　二、“杀猪匠”（Worm.AutoRun.m.81920） 威胁级别：★

　　病毒制作者之间的竞争依旧存在。此次毒霸反病毒工程师就又截获到一个具有“黑吃黑”功能的木马下载器。

　　此毒进入用户系统后，就会在当前目录下运行起来。它遍历磁盘，搜索用户系统中是否存在SiZhu.exe这一文件，如有就将其删除。该文件属于“死猪下载器”（Win32.Troj.EncodeXor.a.147456，详情可见7月13日的毒霸预警播报）的主文件，由此可见，病毒制作者之间的竞争依然在继续。

　　解决掉竞争对手后，该毒就修改注册表中关于IE浏览器首页设置的数据，将IE首页锁定为病毒作者指定的网页。这样，就可以迫使用户浏览这些网站，为其刷流量。

　　最后，它从指定的远程服务器http://dd2.t***kl.info/下载其它的木马文件，给用户带来更多无法估计的麻烦。

　　关于该病毒的详细分析报告，可在金山病毒大百科中查阅 http://vi.duba.net/virus/worm-autorun-m-81920-50904.html

　　金山反病毒工程师建议

　　1.最好安装专业的杀毒软件进行全面监控，防范日益增多的病毒。用户在安装反病毒软件之后，应将一些主要监控经常打开（如邮件监控、内存监控等）、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。

　　2.由于玩网络游戏、利用QQ等即时聊天工具交流的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，如不要登录不良网站、不要进行非法下载等，切断病毒传播的途径，不给病毒以可乘之机。

　　金山毒霸反病毒应急中心及时进行了病毒库更新，升级毒霸到2008年8月31的病毒库即可查杀以上病毒；如未安装金山毒霸，可以登录http://www.duba.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816，反病毒专家将为您提供帮助。

木马下载器, 远程控制木马, 金山毒霸, 预警

此条发布在 星期日, 08月 31st, 2008 at 9:19 am 安全播报, 病毒预警. 您可以通过 RSS 2.0 获得最新评论. 您可以到文章末尾留言。