扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
“伪装配置器5632”(Win32.TrojDownloader.Mnless.5632),这是一个下载器程序。它体积小巧,属于某木马的一个模块,主要任务就是执行下载任务。
一、“套牌迅雷195219”(Win32.Hack.Delf.ao.195219)威胁级别:★
该远程木马的伪装技术比较简单,病毒作者将病毒名称设置为Thunder.exe,看上去很像迅雷下载器的进程名,如果用户对自己的电脑不熟悉,就有可能被骗过。
当进入系统后,该毒将Thunder.exe释放到%WINDOWS%\SYSTEM32\目录下,然后修改注册表启动项,把自己设置为系统服务,达到开机自启动之目的。接着就生成一个Deleteme.bat文件,把自己的原始文件删除,防止被用户发现。
在下一次开机时,病毒运行起来,在后台建立远程连接,与病毒作者指定的黑客服务器进行通讯,等待黑客的入侵。
如果没有安装迅雷的用户发现%WINDOWS%\SYSTEM32\目录下出现Thunder.exe,很有可能就是此毒。而如果安装有迅雷的用户发现进程中出现两个Thunder.exe,也需要提高警惕。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅http://vi.duba.net/virus/win32-hack-delf-ao-195219-51986.html
二、“伪装配置器5632”(Win32.TrojDownloader.Mnless.5632)威胁级别:★
该下载器是某木马下载器的组成模块,它既可以与其它文件相互配合,又能够独立运行,适应力比较强。
即便在没有主文件帮助的情况下,该毒也可以修改系统注册表,跟着系统配置实用程序Msconfig的启动而实现开机自启动。
它运行起来后,在%Windows%\system32\目录中释放出配置文件mscfg.ini,然后连接病毒作者指定的远程地址http://www.fa**ei.net,更新该文件。当更新完成,就可以读取配置文件中的地址去下载其它木马了。
每下载完一个木马,它都会立刻将其运行,木马进程名都是msconfig.exe,由于这和系统配置实用程序的进程名一样,有助于它实现伪装。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅http://vi.duba.net/virus/win32-trojdownloader-mnless-5632-51987.html
金山反病毒工程师建议
1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.由于玩网络游戏、利用QQ等即时聊天工具交流的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,如不要登录不良网站、不要进行非法下载等,切断病毒传播的途径,不给病毒以可乘之机。
金山毒霸反病毒应急中心及时进行了病毒库更新,升级毒霸到2008年10月16日的病毒库即可查杀以上病毒;如未安装金山毒霸,可以登录http://www.duba.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816,反病毒专家将为您提供帮助。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。