关门放狗穿透还原卡并下载木马

“广告弹射器103889”（Win32.Adware.BHO.fi），这是一个广告插件风险程序。该程序会将自己添加为浏览器的插件，并设为自启动，当用户打开浏览器时，它会自动弹出一些广告。

　　“关门放狗”（Win32.Troj.DownloaderT.pl.43008），这是一个木马下载者。它会释放机器狗驱动文件实现还原卡穿透，并从木马种植者指定的网址下载木马程序，给用户系统造成安全威胁。

　　一、“广告弹射器103889”（Win32.Adware.BHO.fi） 威胁级别：★

　　病毒进入系统后，将病毒文件hhctrl.ocx释放到系统盘的%Program Files%\Common Files\System\目录下，并将该文件的相关信息写入注册表启动项，把自己注册为IE浏览器的插件，以实现开机自启动。

　　接着，病毒修改系统修改 Windows管理器中的服务文件，它会释放出一批同名文件，替换掉%WINDOWS%\system32\wbem\Repository\FS\文件夹下的INDEX.MAP、MAPPING.VER、MAPPING1.MAP、OBJECTS.MAP，并破坏系统注册表中的有关数据，使得压缩包内的文件可以自动运行，并在鼠标右键菜单中加入自己的广告信息。

　　要是病毒能成功完成以上步骤，当用户打开IE浏览器时，就会自动弹出广告窗口，引导用户点击登陆木马种植者指定的广告页面，给用户的正常使用造成不便。

　　二、“关门放狗”（Win32.Troj.DownloaderT.pl.43008） 威胁级别：★★

　　病毒进入用户的电脑系统，在系统盘中释放出五个病毒文件，其中四个是以系统盘根目录下，以1至4的数字命名的EXE文件，另外一个是%WINDOWS%\Temp\目录下随即命名的tmp格式文件，这个文件其实是臭名昭著的“机器狗”木马的驱动程序。

　　接着，病毒修改系统注册表，创建一个名为sys_flt的服务，并将该服务程序指向之前生成的tmp文件。如果tmp文件被顺利加载，就会将自身复制到系统盘的“%Documents and Settings%\All Users\「开始」菜单\程序\启动\”目录下，并置其属性为只读。

　　在电脑里站稳脚跟后，机器狗会通过一系列快速的计算，解除还原系统对电脑的保护。如确定突破了保护，病毒就悄悄连接http: //www.2**01*8.cn/api/other这个由木马种植者指定的地址，下载其它木马程序到用户电脑上运行，给用户的系统安全带来无法估计的威胁。

　　“机器狗”这类针对还原系统进行穿透破解的木马多见于网吧等公共场所的电脑，用户操作公用电脑时需提高警惕。建议使用杀毒U盘或将清理专家等支持绿色的安全辅助软件装在U盘里随身携带，以便在公用电脑上进行查杀。

　　金山反病毒工程师建议

　　1.最好安装专业的杀毒软件进行全面监控，防范日益增多的病毒。用户在安装反病毒软件之后，应将一些主要监控经常打开（如邮件监控、内存监控等）、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。

　　2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，及时升级杀毒软件，开启防火墙以及实时监控等功能，切断病毒传播的途径，不给病毒以可乘之机。