“POPHOT点击器变种103284”(Win32.Troj.Pophot.103284),这是一个具有盗号木马功能的广告病毒。它会弹出广告、修改IE 主页,还会窃取本地保存的 Internet Explorer, Outlook Express 和 MSN Explorer 密码。病毒会在非系统盘中生成AUTO病毒文件,并尝试关闭一些安全软件,以便能下载病毒到本地运行。
“杀软封印下载器”(Win32.Troj.Autorun.56832),这是一个病毒下载器,它可通过U盘传播。该病毒运行后会修改用户的计算机配置和IE浏览器的数据,从网络上下载大量恶意软件,并禁止用户访问任何与杀毒及系统安全有关的网页。
一、“POPHOT点击器变种103284”(Win32.Troj.Pophot.103284) 威胁级别:★★
病毒进入电脑系统后,在系统盘中释放出六个病毒文件,分别是%windows%/system32/目录下的winsys16_071031.dll、winsys32_071031.dll、AlxRes071031.exe文件,%windows%/system32/inf/目录下的scrsys071031.scr、scrsys16_071031.dll文件,以及%windows%目录下的mwinsys.ini文件。然后,病毒就建立一个批处理程序myDelm.bat 来删除自己的源文件,以避免用户发现。接着,病毒修改注册表启动项,把自己的相关信息加入其中,达到随系统自动启动之目的。
开始运行后,病毒会以最快的速度检查系统中已安装的安全软件,如发现它们试图弹出警告框提醒用户系统正遭受入侵,就会立刻模拟鼠标点击允许按钮来屏蔽提示和警告,给自己争取到下一步行动的时间。紧接着,它搜索卡巴斯基、360 安全卫士、瑞星、江民等安全软件厂商的产品,并尝试把它们强行关闭。
然后,病毒修改IE浏览器、百度工具条、GOOGLE 工具条、雅虎助手等工具的数据,把大量广告网站、以及含毒网站的信息加入它们的白名单,同时在桌面和收藏夹中生成这些网站的快捷方式,诱使用户点击。它还会试图通过枚举数值的方法来获取用户保存在本机的Internet Explorer、Outlook、MSN的密码。
此外,该病毒还会在所有非系统盘中生成 AUTO病毒文件AUTORUN.INF,只要用户双击打开磁盘,病毒就会被再次激活。此后,如果用户在中毒电脑上使用U盘等移动存储器,病毒就会立即将其传染。
二、“杀软封印下载器”(Win32.Troj.Autorun.56832) 威胁级别:★★
病毒运行后,会在系统盘的%windows%/system32/目录下释放出病毒文件TxHMoU.Exe,并在全部的磁盘分区中生成AUTO病毒文件AUToRUN.Inf和soS.Exe。只要用户双击打开含毒磁盘,病毒就会立刻被激活。如果用户在这台电脑上使用U盘等移动存储器,病毒也会立即将其传染,以扩大自己的势力范围。
随后,病毒修改注册表,将自己的相关信息加入其中,达到随系统自启动之目的,并连接病毒作者指定的网址http://1**.10.1**.1*6,下载最新的病毒配置文件。同时,病毒还会修改注册表的其它部分,禁用任务管理器、禁止自动升级、禁止显示隐藏文件、修改IE主页、禁止用户修改IE主页……经过一番“手术”后,用户的操作将变得极为不便,而且当用户试图访问任何与杀毒及系统安全有关的网页时,IE浏览器就会被立刻强行关闭,而病毒却可以畅通无阻的下载大量病毒到用户系统中运行,给用户造成巨大的损失。
金山反病毒工程师建议
1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报, 这样才能真正保障计算机的安全。
2.玩网络游戏、利用QQ聊天的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。