金山毒霸每日病毒预警:
“广告连接器60718”(Win32.Adware.Agent.60718),这是一个广告程序。它会在磁盘中释放出,添加自己到注册表启动项,运行起来后连接指定的远程地址,弹出页面。
“木马下载器29696”(Win32.Adware.CDN.29696),这是个木马下载器程序。它会从多个不同的地址,下载不同的病毒文件到用户电脑中执行。除执行下载外,没有直接的破坏行为。
一、“广告连接器60718”(Win32.Adware.Agent.60718) 威胁级别:★
这个广告程序近来变种数量较多。毒霸反病毒工程师检查后发现,它对系统没有明显的破坏行为,但会令电脑弹出广告网页窗口,十分烦人。
该毒进入用户系统后,将自己的文件adionalcoo.ini、ipvanjurmlzew.dll、IPVANJ~1.DLL释放到系统盘%WINDOWS%\SYSTEM32\目录下,并修改注册表,把自己与桌面文件进程写到一起,使得自己可以随着系统桌面的启动而一同运行起来。
当成功跑起来,病毒就在后台悄悄连接病毒作者指定的远程地址www.2***p.cn,通过弹出IE窗口,将这些网址展现出来,迫使用户浏览,这是一种明显的广告行为。此外,病毒作者可随时给此病毒设计新的功能,通过自动更新添加给用户电脑中的该毒。
此外,在该毒的其它变种中,还发现有远程控制、非法下载等行为,不过毒霸可以完全查杀它们,已安装毒霸的电脑用户不必担心。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-adware-agent-60718-50822.html
二、“木马下载器29696”(Win32.Adware.CDN.29696) 威胁级别:★
该毒在用户电脑里释放出的文件较多,这些文件主要集中在%WINDOWS%目录下,除Function.dll和jy 001.jpg外,其余文件都是随机命名。另外,在%WINDOWS%\SYSTEM32\rqn\目录下,还有个lsass.exe文件。
这个lsass.exe是病毒主文件,会被写入系统注册表,帮助病毒实现开机自启动。如果能成功运行起来,它就会调用之前释放出的其它病毒文件,执行下载任务。
病毒中自带得有多个不同的网址,这些网址上存放着若干下载列表,病毒可以下载这些列表,再根据其中的地址下载更多的其它木马文件。根据目前下载器的流行趋势,毒霸反病毒工程师认为,这些文件很有可能是网游或网银的盗号木马。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-adware-cdn-29696-50823.html
金山反病毒工程师建议
1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.由于玩网络游戏、利用QQ等即时聊天工具交流的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,如不要登录不良网站、不要进行非法下载等,切断病毒传播的途径,不给病毒以可乘之机。
金山毒霸反病毒应急中心及时进行了病毒库更新,升级毒霸到2008年7月22的病毒库即可查杀以上病毒;如未安装金山毒霸,可以登录http://www.duba.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816,反病毒专家将为您提供帮助。
