【赛迪网-IT技术报道】金山毒霸全球反病毒监测中心发布周(7.21-7.27)病毒预警,上周灰鸽子变身“鸽子窝下载器363520”疯狂作案,本周下载器病毒再出新花招,“疯子下载器106496”远程下载病毒,并且设置计时器,每隔一段时间就重复运行一次,以防止被删除,广大用户需要高度警惕。
金山毒霸反病毒专家李铁军表示,“疯子下载器106496”是一个木马下载器。它具有对抗安全软件的功能,会破坏一些安全软件的运行,然后下载大量网游、网银盗号木马等恶意程序,严重威胁用户虚拟财产安全。
李铁军分析指出,病毒进入系统后,释放多个病毒文件,其中主要文件有%WINDOWS%\system32\目录下的winscksow.dll,%WINDOWS%\system32\drivers\目录下的avpnoackdf.exe和rsdbdt.sys。然后将自己的数据写入注册表,添加为系统服务,实现开机自启动。然后在系统中搜索并尝试关闭金山毒霸、瑞星、卡巴斯基等杀毒软件,以及安全辅助软件360安全卫士的进程。接着连接http://m**p.lovemmll.cn这个由病毒作者指定的地址,下载一份病毒列表,再根据其中的地址去下载更多其它病毒。
据了解,本周内广大电脑用户除了需要警惕“疯子下载器106496”(Win32.Troj.DownLoader.wd.106496)之外,还需要特别警惕“破坏型广告刷子61440”(Win32.HackTool.DownLoader.d.61440)与“延迟下载器81920”(Win32.Troj.VB.kr.81920)两大病毒。前者是一个广告木马程序。它自带有一个网址库,会引导用户的IE浏览器自动登录这些网址,帮它们刷流量。由于它在运行过程中会破坏系统的大量数据,造成电脑运行异常,危害性较强;后者是木马下载器。它会将自己设为管理员权限,映像劫持大量的杀毒软件。然后从指定网址下载大量其它木马程序。
据金山刚发布的2008年上半年安全报告显示,今年上半年以来下载器类病毒成泛滥趋势,已成木马威胁的源头。一旦用户电脑遭遇下载器病毒入侵,通常电脑内将会发现几种甚至几十种木马,而且这些木马将几乎涉及市面上所有流行的在线游戏的盗号木马。正值暑期,金山毒霸反病毒专家提醒用户养成良好的上网习惯,登录http://www.duba.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵。或拨打金山毒霸反病毒急救电话010—82331816。