病毒名称:Trojan/Axela.b;Trojan/Axela.c;Trojan/Axela.d;Trojan/Axela.e
病毒种类:木马
病毒大小:19456字节,18432字节,19968字节,17920字节
传播方式:网络
近期,江民反病毒中心收到大量用户反应,在用QQ聊天时会收到类似“点击下面网址可以下载某某电子书”的消息,一旦点击了消息中提到的网址立即中毒。造成大批用户中毒的元凶是Trojan/Axela木马病毒的多个变种。江民仅在最近一个星期就截获了4个最新变种Trojan/Axela.b,Trojan/Axela.c,Trojan/Axela.d和Trojan/Axela.e,关于它们的技术分析如下:
1. 病毒程序运行后,将自身复制2份到%Windir%System目录下,文件名分别为Noteped.exe和Taskmgr.exe,这2个文件都是隐含的。
Trojan/Axela.d和Trojan/Axela.e的图标与之前的版本有所不同,并多生成一个windll.dll文件。windll.dll文件中包含一些侮辱性的文字。
2. 在注册表HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下添加启动项:
“taskmgr” = “%Windir%systemaskmgr.exe”
伪装成任务管理器程序,这样系统启动时,病毒即得以运行。
3. 修改TXT文件的关联HKEY_CLASSES_ROOTxtfileshellopencommand,
“默认”= “NOTEPED.EXE %1”
这样,在打开任何文本文件时,都会触发病毒再次运行。
4. 修改IE默认主页项
HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerMainStart Page
HKEY_CURRENT_USERSOFTWAREMicrosoftInternet ExplorerMainStart Page
5. 通过QQ聊天软件自动向用户的好友发送含有病毒网址的消息。病毒网页上有一个flash文件,会自动下载病毒程序。
具有迷惑性的是,病毒发送的消息中包含目标用户的QQ昵称,企图降低用户的警惕,这也是造成该病毒近期泛滥的原因之一。
针对该病毒的所有变种,江民公司都已经在第一时间截获并升级了病毒库。请您在收到符合上文描述的QQ消息时,千万不要点击消息中的网址,并及时病毒库,即可全面查杀该病毒的所有变种,保护您的系统不受其侵害。
