客服电话:400 610 7777
“FTP傀儡34816”(Win32.TrojDownloader.Mnless.34816),这是一个下载器程序。它能利用IE、OPERA、FIREFOX等多种浏览器加载自己,然后调用系统中的FTP工具进行病毒下载行为,引起更大的破坏。
“蓝屏下载器114176”(Win32.TrojDownloader.Small.114176),这是一个诈骗型的木马下载器。它会伪造出一个蓝屏事件,要求用户下载特定的“安全软件”。同时,它会收集用户的上网习惯,以便病毒作者更好的“开展工作”。
一、“FTP傀儡34816”(Win32.TrojDownloader.Mnless.34816) 威胁级别:★★
这个病毒能够利用捆绑其它文件的方式进行传播。该毒进入电脑后,将自己的文件setupapi.dll释放到IEXPLORER目录下。接着检查自己的dll文件是否被IEXPLORER.EXE、OPERA.EXE、FIREFOX.EXE等浏览器的进程加载,若不是,便退出程序,以载入指定动态链接库的方式加载自己。
无论采取哪种加载方式,一旦得以运行。此毒便检查注册表,查看用户是否安装有FlashFXP、VanDyke SecureFX、Ipswitch WS_FTP、LeapFTP等工具。
如果发现用户有安装以上FTP工具,此毒则调用这些工具去病毒作者指定的远程地址http://66.1*9.2*1.1*8/ftpg/ftp.php下载一份FTP列表,然后根据其中的地址下载更多的其它病毒。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-trojdownloader-mnless-34816-51776.html
二、“蓝屏下载器114176”(Win32.TrojDownloader.Small.114176) 威胁级别:★★
此毒的下载行为十分“光明正大”,它通过伪造蓝屏事件的方法,欺骗用户下载一个所谓的安全软件。而该“安全软件”其实是个商业广告木马程序,能长期驻守用户系统,收集用户的上网习惯。
它进入电脑后,首先会判断当前电脑中的输入法,它仅对安装了指定的八种输入法的电脑起作用,这八种输入法在国内很罕见。结合之前蓝屏提示的英文语句,毒霸反病毒工程师认为这个木马是只“洋马”。
如果确认了目标,该毒便修改注册表项,修改系统的安全级别为最低,并替换桌面的底色以及图片,去掉了桌面设置中可以设置图片与屏保的选项,让用户无法自己修复桌面和屏保。
最后,它释放伪造蓝屏的屏保,要是用户上当允许下载,它就会下载木马到本地Temp目录运行。
此外,该毒还会读取用户的上网记录,如果在其中发现病毒作者指定的一些网址,就会将这些信息发送到远程地址,这是一种信息收集方式。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-trojdownloader-small-114176-51777.html
金山反病毒工程师建议
1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.由于玩网络游戏、利用QQ等即时聊天工具交流的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,如不要登录不良网站、不要进行非法下载等,切断病毒传播的途径,不给病毒以可乘之机。
金山毒霸反病毒应急中心及时进行了病毒库更新,升级毒霸到2008年9月17的病毒库即可查杀以上病毒;如未安装金山毒霸,可以登录http://www.duba.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816,反病毒专家将为您提供帮助。
标签: