“伪杀软广告机105403”(Win32.RiskWare.XPAntiSpywar.i.105403),这是一个广告间谍程序。它将自己伪装成一款免费的杀毒软件,欺骗用户下载。一旦用户安装了它,就无法将其卸载。该毒会在用户电脑屏幕上弹出一些广告页面,并收集用户的使用习惯。
“jiejie下载器4096”(Win32.Troj.Download.jd.4096),这是一个木马下载器。它将自己的文件采用多重命名,欺骗用户点击。运行后下载大量木马文件到电脑里运行。
一、“伪杀软广告机105403”(Win32.RiskWare.XPAntiSpywar.i.105403)威胁级别:★★
这个病毒通过将自己伪装成一款名为“XP_Antispyware”的杀毒软件来进行传播,病毒作者甚至为它设计了一些看上去比较权威的安全网站,只要用户登录,就会弹出提示,说在用户的电脑系统中发现病毒,要求用户立刻下载这款伪杀软。
如果用户选择下载,该毒就会从多个地址下载多份病毒文件,放置到临时目录%temp%中,并进一步复制到%programfiles%\XP_Antispyware目录下。
其中一个名为wscui.cpl的文件会被转移到%WINDOWS%\system32\目录下,并改名为_scui.cpl,然后病毒调用系统自身的rundll32.exe进程来加载该病毒文件。如果顺利运行,该毒就能完成修改注册表启动项、母体复制等操作。
当一切准备就绪,该毒就原形毕露,开始不断的弹出广告窗口,并记录下用户的操作和上网习惯。发现上当的用户肯定会想要删除它,但是却会发现将控制面板设置被锁定为经典模式,根本找不到“添加删除”选项。如此一来,该毒就可以长期霸占用户的系统了。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅http://vi.duba.net/virus/win32-riskware-xpantispywar-i-105403-52457.html
二、“jiejie下载器4096”(Win32.Troj.Download.jd.4096)威胁级别:★
该毒的主文件名称为Hacker.com.cn.exe,被释放在%ProgramFiles%目录下。这种多重命名是为了欺骗用户,只要该毒锁定系统的文件夹显示模式,用户就只能看到Hacker.com.cn的名称。
这种文件名对刚接触电脑的用户具有一定程度的诱惑,根据毒霸反病毒工程师的调查,绝大部分初级用户看到这样的文件名,会以为是某网站的链接而去点击。这样一来,就将病毒激活。
病毒被激活后,就会修改注册表,添加自己一个名为“jiejie”的服务项,实现开机自启动。运行起来后就连接到病毒作者指定的下载地址,下载更多别的木马程序。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅http://vi.duba.net/virus/win32-troj-download-jd-4096-52481.html
金山反病毒工程师建议
1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.由于玩网络游戏、利用QQ等即时聊天工具交流的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,如不要登录不良网站、不要进行非法下载等,切断病毒传播的途径,不给病毒以可乘之机。