05.09病毒预警：“文件夹邮递员”伪装成文件夹、发送含毒邮件 _ 安全中国www.anqn.com

　“文件夹邮递员”（Win32.Troj.Agent.208896），这是一个蠕虫病毒程序。病毒采用文件夹图标，让用户误以为是它文件夹而点击。当被激活后，它会搜索系统中的Outlook工具，调用它来向用户的全部联系人发送携带病毒的信件。

　　“弹射广告315392”（Win32.Troj.Delf.tm.315392），这是一个广告木马。它会更改用户系统的IE首页设置，弹出广告网站，赚取流量。该病毒会释放出自己的驱动，保护自己在注册表中修改的数据，阻止用户进行还原。

　　一、“文件夹邮递员”（Win32.Troj.Agent.208896）威胁级别：★

　　这个蠕虫病毒具有较强的伪装和诱惑能力。与那些想方设法躲避用户发现的“同行”不同，它会将自己的病毒文件伪装成文件夹的样子，最大限度地欺骗用户去点击，以使自己得到激活。

　　病毒进入系统后，会立刻在全部的磁盘分区中释放出病毒文件WINDOWS.EXE、coment.htt和desktop.ini。其中WINDOWS.EXE是病毒主文件，coment.htt则负责在用户上网时，利用IE浏览器的漏洞来调用WINDOWS.EXE，而desktop.ini则是用于激活coment.htt不可缺少的“钥匙”。

　　当文件释放完毕，病毒就修改注册表中的相关数据，使得自己文件的后缀都隐藏起来，并给自己换上文件夹图标。它这样做，是希望让用户以为它是一个文件夹，进行点击。当病毒首次被激活时，它将自己复制到系统的字体路径（比如C:\WINNT\FONTS\）。名称是四位随机数字和字母，扩展名为“com”。并在注册表的启动项添加“TempCom”，让自己实现开机自启动。

　　等到下一次被激活时，病毒就会搜索系统中的Outlook工具，读取其中的联系人邮件地址，悄悄地向联系人发送含毒邮件，扩大自己的感染范围。为进一步提高传播速度，病毒还会查找网络上的其它计算机，试图感染更多用户电脑。

　　目前发现的该病毒变种，还不具备直接危害性，但随着该病毒的传播，不排除病毒作者会将其升级为黑客程序的可能，因此需要注意。

　　关于该病毒的详细分析报告，可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-troj-agent-208896-50589.html

　　二、“弹射广告315392”（Win32.Troj.Delf.tm.315392）威胁级别：★

　　这个木马是一个广告软件，它的目的就是给病毒作者指定的广告网站增加访问量和刷流量。对于网络流量费用较贵的用户来说，这种行为无异于抢钱。并且，由于大部分广告网页的安全防护能力较差，很容易被其它恶意软件挂马。

　　该病毒进入电脑系统后，释放出一系列的病毒文件，分别为%WINDOWS%\system32\drivers\目录下的cx24.sys和5l9f0gq.sys ，%WINDOWS%\system32\目录下的33y08.dll，同时，它将病毒作者指定的广告网页加入IE浏览器的收藏夹中。

　　接着，病毒修改系统注册表，实现开机自启动，如果可以成功地运行起来，它就能在后台调用IE浏览器，随机弹出病毒作者指定的网址http://7**5.com/?g，为该网站刷流量。

　　关于该病毒的详细分析报告，可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-troj-delf-tm-315392-50591.html

　　金山反病毒工程师建议

　　1.最好安装专业的杀毒软件进行全面监控，防范日益增多的病毒。用户在安装反病毒软件之后，应将一些主要监控经常打开（如邮件监控、内存监控等）、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。

　　2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，及时升级杀毒软件，开启防火墙以及实时监控等功能，切断病毒传播的途径，不给病毒以可乘之机。

　　金山毒霸反病毒应急中心及时进行了病毒库更新，升级毒霸到2008年5月9日的病毒库即可查杀以上病毒；如未安装金山毒霸，可以登录http://www.duba.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816，反病毒专家将为您提供帮助。