金山毒霸4日病毒预警:小心“PE木马下载器102400”下载程序和“劫持者下载器397312”木马下载程序。
“PE木马下载器102400”(PE.ExplorerDL.c.102400),该毒是一个采用高级语言编写的下载器程序。它会感染系统桌面文件Explorer,使自己可以在开机时跟着运行起来。然后下载其它木马。
“劫持者下载器397312”(win32.Troj.WeHit.397312),这是一个木马下载器程序。运行后会就破坏一些常见杀毒软件的正常运行,然后到指定地址下载其它木马等。它还会修改IE浏览器的默认页面。
一、“PE木马下载器102400”(PE.ExplorerDL.c.102400) 威胁级别:★
这个下载器利用感染其它文件或人工发送的方式传播。当它进入用户电脑、且被激活后,就会立即搜索系统桌面文件explorer.exe,将其感染。当电脑再次启动时,病毒就会随着explorer.exe的启动被激活,它释放正常文件执行,并紧跟着执行自己的文件。
病毒中设置得有定时器,它每隔一段时间就检查自身附带的网址http://i***e0***.com/p是否可以连接。如果网络连通,病毒就下载一份列表文件,在根据列表中的地址去下载更多其它病毒文件并执行。经毒霸反病毒工程师检查,这些病毒都是各类网游、网银盗窃木马。如果进入系统运行,将可能给用户造成财产损失。
当运行结束,病毒便生成bat文件,利用它删除自身,销毁作案证据。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅 http://vi.duba.net/virus/pe-explorerdl-c-102400-50781.html
二、“劫持者下载器397312”(win32.Troj.WeHit.397312) 威胁级别:★★
最近具有对抗杀毒软件能力的木马下载器又开始出现增多迹象。本篇预警播报中的病毒就是一个对抗型下载器。它和它的若干变种频繁出现于网络中。
病毒进入电脑后,释放文件ccwlae080420.exe、ccwld32_080420.dll、ccwld16_080420.dll到%WINDOWS%\system32\目录中。如释放成功,则在文件%WINDOWS%目录下生成一个ccwl16.ini文件,并在其中记录相关信息。
病毒利用映像劫持技术,修改注册表,使目前市面上常见的多款杀毒软件瘫痪,并加载之前释放出的dll文件,修改IE浏览器的默认首页,使得用户在启动IE时,会被引导到病毒作者指定的网站。同时,病毒建立远程连接,下载大量的盗号木马。
该毒以及它所下载的木马,都会被毒霸完全清楚,已安装毒霸的用户可以放心。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-troj-wehit-397312-50782.html
金山反病毒工程师建议
1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.由于玩网络游戏、利用QQ等即时聊天工具交流的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,如不要登录不良网站、不要进行非法下载等,切断病毒传播的途径,不给病毒以可乘之机。
金山毒霸反病毒应急中心及时进行了病毒库更新,升级毒霸到2008年7月4的病毒库即可查杀以上病毒;如未安装金山毒霸,可以登录http://www.duba.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816,反病毒专家将为您提供帮助。