“AUTO下载者65536”(Worm.AutoRun.65536),这是一个下载者病毒。它会在全部磁盘下都生成AUTO病毒,利用U盘等移动设备传播,并分别连接不同的两个网址,下载其它病毒文件到用户电脑中。
“木马下载者23552”(Worm.Downloader.eb.23552),这是一个下载者病毒。其本身并不具备大的危害,但由于会连接到病毒作者指定的网络地址下载其它病毒,因此需要关注。
一、“AUTO下载者65536”(Worm.AutoRun.65536) 威胁级别:★★
病毒进入用户电脑系统后,将病毒文件systom.exe和Autorun.inf释放到系统盘的%WINDOWS%\system32\目录下,接着就修改注册表中的相关数据,将自己加入启动项,实现随系统的启动而自动运行。
然后,病毒搜索所有的磁盘分区,在它们的根目录下生成AUTO病毒文件Autorun.inf和sos.exe,只要用户双击鼠标左键进入含毒磁盘,病毒就会被激活,再次遍历全部磁盘传播自己。如果用户在中毒电脑上使用U盘等移动设备,病毒也会将其传染,扩大自己的传染范围。
当病毒运行起来后,它会在用户无法知晓的情况下建立远程连接,从病毒作者指定的网址http://www.2**41.com.cn/B*/下载一份最新的病毒地址列表,并将其命名为sos.dll,保存至 %windows%\system32\目录下。随后,通过读取列表中的地址,去下载更多的其它病毒,给用户造成无法估计的损失。
二、“木马下载者23552”(Worm.Downloader.eb.23552) 威胁级别:★
病毒进入用户的电脑系统后,将病毒文件usrinit.exe释放到系统盘的%Windows%\system32\目录下,然后在用户无法察觉的情况下迅速建立远程连接,从木马种植者指定的网络地址下载另一个病毒文件,将其命名为“usb32k.sys”,存放到系统盘%WINDOWS%\system32\drivers\目录下。
病毒下载完毕后,会被立即激活,在用户电脑中展开破坏行动。需要注意的是,该病毒是使用生成器自动生成,因此下载病毒的地址并不固定,病毒作者可通过对生成器的升级,不断给它设置新的下载地址。
并且,由于被下载的病毒种类不同,在系统中引起的症状也各有不同,无法一一列举,但无论如何,对该下载者病毒是需要警惕的。
金山反病毒工程师建议
1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。
金山毒霸反病毒应急中心及时进行了病毒库更新,升级毒霸到2008年1月25的病毒库即可查杀以上病毒;如未安装金山毒霸,可以登录http://www.duba.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816,反病毒专家将为您提供帮助。
安全中国首页 > 新闻中心 > 金山病毒播报