黑客木马下载器Win32.Troj.DownLoader.se.1367552

黑客木马下载器 Win32.Troj.DownLoader.se.1367552

该木马运行后，读取资源，释放病毒文件1sass.exe到%WINDOWSt%\system\目录，并立即启动该文件。然后创建一个批处理文件删除自己的原始文件，让用户以后即便发现电脑异常也找不到毒源。
随后，病毒将1sass.exe以系统服务的名义添加到系统注册表中，骗过用户的注意，同时让自己实现开机自动运行之目的。
如果病毒服务得以启动，它会连接黑客网站http://nb.******.com/list.txt下载一份记录有病毒列表的文本文件，根据该列表中的网址下载其它的木马到用户电脑上运行。经过分析，发现被下载的木马是一个远程控制软件，如果该木马被顺利安装，黑客就可以完全控制用户的电脑，进行任何他想要的操作。

“土著下载者546816”（Win32.Troj.Unknown.b.546816）  

这是一个由下载者生成器生成的下载者程序。当它出现在用户电脑中后，会将病毒文件789.exe和cmdno.exe释放到系统盘的%WINDOWS%\system32\目录下。然后修改注册表，将自己的相关数据添加到启动项中，这样以后每次用户启动电脑时，它都能跟着自动运行起来。其启动项名称为relinson，这可作为查找该病毒的一个依据。
当病毒运行后，它创建一个名为Windows_ServerUP1的系统服务，自动连接木马种植者指定的远程地址http://www.o***ok365.com/，下载一份病毒地址列表，然后根据列表中的地址下载更多其它病毒到用户电脑中运行，引起更多无法预计的破坏。
这类用生成器生成的木马病毒多见于网吧等公共场所中的电脑，因此用户使用公用电脑时也需提高警惕。

“覆盖者下载器997376”（Win32.Troj.DownLoaderT.ib.997376）  

此病毒潜入系统后，立即覆盖感染系统桌面进程explorer.exe，这样，以后每次电脑重启时，它都能跟着explorer.exe的进程一起运行起来。
病毒运行起来后，会创建线程，查找Windows系统中的“Windows文件保护”窗口，并隐藏该窗口，使得用户无法对自己得文件进行有效保护。接着就迅速在用户无法知晓的情况下建立远程连接，从http://baidu****.com/这个由木马种植者指定得地址下载一个名为list.txt的文本文件。
这个文本文件其实是一份病毒下载列表，此病毒会读取里面得地址，下载更多其它病毒到用户电脑里运行，引起无法估计的更大破坏。同时，由于是采取覆盖感染的方式，修复难度较大，目前大部份的杀毒软件在修复其感染文件时，都无法彻底修复。

动物家园计算机安全咨询中心反病毒工程师建议：

1、从其他网站下载的软件或者文件，打开前一定要注意检查下是否带有病毒。
  
2、别轻易打开陌生人邮件及邮件附件、连接等。

3、用户应该及时下载微软公布的最新补丁，来避免病毒利用漏洞袭击用户的电脑。

4、尽量把系统帐号密码设置强壮点，勿用空密码或者过于简单。

5、发现异常情况，请立即更新你的反病毒软件进行全盘查杀或者登陆bbs.kingzoo.com(安全咨询中心)咨询.