金山毒霸反病毒专家李铁军表示,这个广告木马最新变种已具备了二次感染能力,因此传播速度极快。如果用户试图打开被它修改过的文件时,只会收到“非法的win32程序”的提示,而无法运行,严重影响到用户正常使用电脑。
李铁军分析指出,当病毒进入用户系统,便搜索%Program Files%文件夹和非系统分区文件夹中的“.exe”文件,读取其图标文件。一旦发现与自己图标的大小吻合(0x8A8),则立即用病毒文件覆盖该文件的头部,同时仍然保持该文件的图标。这样一来,病毒就能借助原“.exe”文件的躯壳隐藏于系统中。然后弹出广告网站的窗口,并下载一些其它木马。
据了解,本周内广大电脑用户除了需要警惕“摄魂机”(Win32.Troj.Kavsp.a)之外,还需要特别警惕“虚假泡泡”(Win32.Troj.Agent.po.389120)与“游离控制器97828”(Win32.Hack.PcClient.al.97828)两大病毒。前者是一个广告木马程序。它会冒充一些常见杀毒软件的泡泡,欺骗用户点击,从而将用户引导到病毒作者指定的网站,给该网站增加流量。而且这个网站具有不安全因素,用户一旦登录,系统资源就会被大量占用,甚至造成死机;后者是一个远程控制木马的组成模块。病毒通过创建匿名管道的办法,开启多个敏感端口,在系统中建立后门,以便黑客可以对用户系统进行远程控制。
根据本周病毒传播特点,金山毒霸反病毒应急中心及时进行了病毒库更新,升级毒霸到2008年12月29日的病毒库即可查以上病毒;如未安装金山毒霸,可以登录http://www.duba.net免费下载具有“云安全”体系的最新版金山毒霸2009或使用金山毒霸在线杀毒来防止病毒入侵,拨打金山毒霸反病毒急救电话010—82331816反病毒专家将为您提供帮助。