“蓝屏广告木马147456”木马专杀
病毒介绍:
病毒名称(中文):蓝屏广告木马147456
病毒别名:Win32.Troj.Agent.cd.147456
威胁级别:★★★☆☆
病毒类型:广告软件
病毒长度:147456字节
影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行为:
这是一个广告间谍程序。这个广告程序和其它“同类产品”功能差不多。进入系统后就会修改注册表中关于IE浏览器的数据,使得自己能控制IE浏览器弹出病毒作者指定的网页,为这些广告网站赚取流量。它会将用户的IE浏览器指向到病毒作者指定的广告网页,同时还会收集用户的系统数据。同时,它会记录下用户系统的配置、地址信息,将它们发送给病毒作者。如果病毒作者将这些数据卖给黑客,那么会给黑客入侵用户电脑提供很大方便。
病毒运行之后,病毒文件会被隐藏在%WINDOWS%\system32\目录下,有随机命名的一个dll文件和两个exe文件。病毒通过感染系统自身的winlogon.exe文件来加载自己的文件。如果习惯手动杀毒的用户直接强制删除病毒dll文件,可能会导致winlogon.exe加载病毒dll失败而蓝屏。会释放
C:\WINDOWS\system32\随机名.dll
C:\WINDOWS\system32\随机名1.exe
C:\WINDOWS\system32\随机名2.exe
修改
C:\WINDOWS\system32\winlogon.exe
改名
C:\WINDOWS\system32\winlogon.exe—>winlogon12.exe
C:\WINDOWS\system32\dllcache\winlogon.exe—>winlogon12.exe
修改注册表
“EnableFirewall”=dword:00000000
这个病毒通过被感染的winlogon加载病毒dll,如果直接强制删除病毒dll,会导致winlogon.exe加载病毒dll失败而蓝屏,而病毒dll的功能为保护病毒exe和winlogon.exe,当exe被结束时立即重新从scheme.ini中读取exe名称,连接system32路径,运行病毒;当winlogon.exe被替换时,运行Windata中指向的原病毒体,再次修改winlogon.exe。
病毒会盗取用户信息,修改IE首页,自动更新。
专家预防建议:
1.建立良好的安全习惯,不打开可疑邮件和可疑网站.
2.不要随意接收聊天工具上传送的文件以及打开发过来的网站链接.
3.使用移动介质时最好使用鼠标右键打开使用,必要时先要进行扫描.
4.现在有很多利用系统漏洞传播的病毒,所以给系统打全补丁也很关键.
5.安装专业的防毒软件升级到最新版本,并开启实时监控功能.
6.为本机管理员帐号设置较为复杂的密码,预防病毒通过密码猜测进行传播,最好是数字与字母组合的密码.
7.不要从不可靠的渠道下载软件,因为这些软件很可能是带有病毒的.
更多资讯请登陆金山毒霸官方网站查询:www.kingsoft2008.net.cn
专杀下载
