“蚯蚓下载器61440”(Win32.TrojDownloader.Calac.lf.61440),这是一个木马下载器。它会将大量的木马下载到系统的临时目录并执行,随着运行木马的数量逐渐增大,系统资源会被严重占用。
“AV变种81920”(Win32.Troj.KillAV.ni.81920),这是AV终结者的一个变种。它进入系统后会搜索一些常见的安全软件,将它们关闭或劫持。然后下载其它木马到电脑中执行。
一、“蚯蚓下载器61440”(Win32.TrojDownloader.Calac.lf.61440)威胁级别:★
该毒名称来源于它所下载的木马文件名,这些木马文件被下载后,全部都是随机生成名称,但都类似于s903wt.exe、s5231wt.exe、s3883wt.exe等形式,均由S字母打头。
病毒每下载成功一个木马,就会立即将其激活执行,然后删除其原始文件,避免用户发现系统中出现陌生的文件。但是,由于下载量较大,随着这些木马的运行,系统资源会被逐渐占用,电脑运行变慢甚至死机。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅http://vi.duba.net/virus/win32-trojdownloader-calac-lf-61440-53100.html
二、“AV变种81920”(Win32.Troj.KillAV.ni.81920)威胁级别:★
AV终结者的对抗能力在此变种中依然得到继承。该变种利用其释放到%WINDOWS%\SYSTEM32\目录中的Nskhelper2.sys驱动文件对注册表中的数据进行搜索,只要发现常见的安全软件,就破坏它们的数据,对它们执行映像劫持,令这些安全软件失效。
同时,该毒会释放出自己的执行文件,在后台悄悄连接病毒作者指定的远程服务器,下载其它木马。这些木马多为盗号程序,会对用户的网游帐号、网银帐号构成威胁。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅http://vi.duba.net/virus/win32-troj-killav-ni-81920-53099.html
金山反病毒工程师建议
1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.由于玩网络游戏、利用QQ等即时聊天工具交流的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,如不要登录不良网站、不要进行非法下载等,切断病毒传播的途径,不给病毒以可乘之机。