天下网吧 >> 网吧天地 >> 网吧技术 >> 网吧安全 >> 正文

“长寿下载器43008”让电脑死机

2008-3-6塞迪网佚名

“长寿下载器43008”(Win32.TrojDownloader.Delf.43008),这是一个下载者木马。该病毒运行成功后,会立即在后台下载海量盗号木马。并且只要系统能联网,它就会不停地在后台进行下载工作。使用户的机器出现运行缓慢,甚至出现死机症状。一般用户无法察觉,不过使用系统清理专家便可看出后台下载的病毒。

“安全破坏者下载器”(Win32.Troj.DownloaderT.hy.27648),这是一个下载者木马。它采用覆盖感染的方式感染系统explorer.exe文件以达到随系统启动而启动,它会隐藏“Windows文件保护”的对话框窗口,并修改系统时间为2001年,导致依赖时间进行激活的杀毒软件失效。最后下载一个病毒列表,根据该列表下载木马到本机并运行。

一、“长寿下载器43008”(Win32.TrojDownloader.Delf.43008) 威胁级别:★★

病毒运行成功后,在系统盘中释放出六个病毒文件,分别为%windows%目录下的WSockDRV32.EXE、NVDispDRV.exe、upxdnd.exe、DbgHlp32.exe,以及系统桌面目录下的2.exe、a.exe。同时,病毒将它们的相关数据写入系统注册表启动项,使自己可以在以后每次用户启动电脑时都跟着自动运行起来。

一旦病毒开始运行,它立即从http://*ii.ch**p.net/wm这个由木马种植者指定的地址下载众多的病毒文件,把它们先存放在到IE缓存中,然后再隐藏到系统的各角落里。用户如果注意检查WINDOWS文件夹、SYSTEM32文件夹或是其他关键的文件夹,可发现多出了一些莫名的病毒可执行文件。而这些病毒可执行文件,均有盗号或下载病毒的功能。

如果使用系统清理专家扫描恶意软件,可发现系统中竟然同时运行着多达10项的恶意软件,其中包括有“大话西游”、QQGAME等游戏的盗号木马,还有通过MSN发送的相片病毒。

被病毒袭击的系统,系统资源会被逐渐占用,运行起来会变得越来越慢,即便用户重启电脑,病毒仍然会连接网络,继续下载行为。进入病毒发作后期,电脑甚至会出现死机的情况。

二、“安全破坏者下载器”(Win32.Troj.DownloaderT.hy.27648) 威胁级别:★★

病毒进入系统后,会先搜索系统盘的%WINDOWS%\system32\dllcache\目录下是否有自己的病毒文件conime.exe、internat.exe、ctfmon.exe、explorer.exe,只要发现其中任何一个,就立即修改系统注册表,将自己的数据加入启动项,实现开机自启动。如果该目录下没有这些文件,它就先释放全部的病毒文件到该目录下,然后再修改注册表

当病毒运行起来后,它创建线程,擅自调用Window命令循环查找“Windows文件保护”程序的窗口,并将其隐藏起来,以阻止用户查杀自己。

接着,病毒在后台悄悄连接木马种植者指定的地址http://down.*****.cn/,下载一个病毒列表文本。如果它可以顺利按照列表中的网址,下载其它更多病毒到用户电脑上运行,将给用户系统造成更多难以想像的破坏。

此外,该病毒具有一定的自我更新功能,它在下载病毒列表时,会根据自身版本号判断是否有新版本,如果有新版本的话则下载并运行。

金山反病毒工程师建议

1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。

2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。

欢迎访问最专业的网吧论坛,无盘论坛,网吧经营,网咖管理,网吧专业论坛https://bbs.txwb.com

关注天下网吧微信,了解网吧网咖经营管理,安装维护:


本文来源:塞迪网 作者:佚名

声明
本文来源地址:0
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。若文章侵犯了您的相关权益,请及时与我们联系,我们会及时处理,感谢您对本站的支持!联系Email:support@txwb.com.,本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下
  • 本周热门
  • 本月热门
  • 阅读排行