“精确制导监视器”(Win32.Troj.Agent.km.52224)是一个间谍木马程序。它能够记录用户的系统数据和所在地区,以及用户使用搜索引擎时输入的关键词,然后将这些信息发送给病毒作者。该毒有一个特点,就是病毒作者可以给它指定发作地区。
“武装AUTO下载器991232”(Win32.Troj.AutoRunsT.m.991232)是一个感染型的下载器。它能够穿透系统的还原保护,破坏安全软件的正常运行。还会利用AUTO技术进行传播。
一、“精确制导监视器”(Win32.Troj.Agent.km.52224) 威胁级别:★★
这个木马没有固定的文件名,它进入系统后,就把自己复制到%WINDOWS%\system32\目录下,名字随机生成,并删除原始文件。然后就修改注册表,将自己设置为开机自启动。
病毒运行起来后,会注入桌面进程explorer.exe,隐蔽运行,并连接病毒作者指定的地址6*.2*.1*8.221,下载最新版本的自己,实现更新,然后就开始作案。
它对用户最大的威胁,在于它能够读取IE的缓存,记录用户的网页浏览记录,以及用户使用msn、google、yahoo、aol、icq等搜索引擎时所输入的关键词记录。同时,它还会检查用户使用的浏览器是哪种。毒霸反病毒工程师猜测,当这些数据被发送到病毒作者手中,可能会被用于统计用户的上网习惯,以帮助病毒作者有针对性的开发广告木马。
另外,此木马有个特点,就是病毒作者能够给它指定发作地区。它检查系统中Control Panel\International的键值iCountry、Nation,判断当前电脑的所在国家,如果发现是病毒作者指定的国家,就立即运行,如果不是,则沉默等待。毒霸反病毒工程师认为,这是病毒作者实现“精确攻击”的办法,这使得他们能获取最准确的某区域用户信息。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-troj-agent-km-52224-50843.html
二、“武装AUTO下载器991232”(Win32.Troj.AutoRunsT.m.991232) 威胁级别:★★
此下载器有较强的感染能力,它利用感染硬盘中的网页传播,包括.do 、.htm、 .html、 .shtm、 .shtml 、.asp、 .aspx 、.php 、.jsp、 .cgi、 .xml等格式在内的网页文件全部都会被感染。
需要注意的是,这种感染并不是直接将病毒代码加入网页文件中,而是在其中写入一段由病毒作者指定的挂马网址,当用户启动这些文件时,就会被自动引导到挂马网页,从而感染完整的下载器。
调用系统中关于校验和监视系统文件变更的sfc.dll模块,修改它的数据,解除系统自身的监视与还原功能。然后连接病毒作者指定的地址http://w.XXXXX.cn,下载一份名为config.txt的病毒列表到%WINDOWS%\system32\。然后根据其中的地址去下载大量木马程序。
此外,为提高传播效率,该下载器会在各磁盘分区中建立AUTO文件。针对一些用户已经自己在移动存储器中建立AUTO文件,试图阻止病毒感染这一行为,这个病毒有它的一套应对措施:它会先删除各磁盘分区下已有的autorun.inf文件,然后再创建autorun.inf和病毒自身母体MSDOS.bat。