“广告弹出器302080”木马专杀
病毒介绍:
病毒名称:Win32.Troj.Agent.ie.302080
病毒别名:广告弹出器302080
威胁级别:★★☆☆☆
病毒类型:木马
病毒长度:302456字节
影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行为:
此广告木马具有劫持功能。它释放文件后,就会立刻遍历RUN键值(也就是注册表自动启动项)下的所有项,并以其名字建立映像劫持。这样,只要用户启动电脑,病毒就能自动运行起来。如果杀毒软件对注册表监控能力弱,它们也有可能被劫持,变得瘫痪。
这是个广告木马。它会劫持系统文件,然后频繁弹出广告页面。该毒还具有自我更新功能。
1.样本msns*.dll 先设置钩子注入explorer.exe。
2.下载读取更新配置文件,下载里面的病毒更新程序.
3.会弹出指定的 广告。当劫持成功,病毒连接指定的远程地址,下载自己的更新文件,根据更新文件里的指令,弹出病毒作者指定的网站页面,强迫用户浏览,为这些网站刷流量。
4.遍历RUN键值下的所有项,并以其名字建立映像劫持。
5.建立计划任务%windir%\Tasks\MsUpdateTask.job,每个3分钟运行一次。
6.更新程序BO1011.exe,会释放%temp%\nsz[*].tmp\BackOperHelper.dll文件([*]为数字,从1开始往上加).
7.BackOperHelper.dll会算出随机字符连接到msns后,连接成msns*.dll的确定文件名。
8.BO1011.exe会将msns*.dll释放资源到%windir%\下。
9.BO1011.exe释放fanti.sys和regti.sys两个驱动到%windir%下
10.BackOperHelper.dll将%windir%下的fanti.sys和regti.sys两个驱动复制到%windir%\system32\drivers下,并创建相应的服务。fanti.sys,regti.sys会获取驱动启动信息进行对比,出现错误写入.
11.msns*.dll创建HKLM\SOFTWARE\Microsoft\Service里面写入中毒的时间。还创建HKLM\SYSTEM\CurrentControlSet\Services\Reserve\file键值,将自己路径写入。
毒霸可以自动查杀该毒,已安装毒霸的电脑用户可以不必担心。习惯手动杀毒的用户请注意它所释放出的文件BO1011.exe,以及它衍生出的文件msns*.dll(*代表一个随机生成的数字)、fanti.sys和regti.sys。它们都被隐藏在%WINDOWS%目录下。另外,fanti.sys和regti.sys还会有副本被复制到%WINDOWS%\system32\drivers\目录中。
专家预防建议:
1.建立良好的安全习惯,不打开可疑邮件和可疑网站.
2.不要随意接收聊天工具上传送的文件以及打开发过来的网站链接.
3.使用移动介质时最好使用鼠标右键打开使用,必要时先要进行扫描.
4.现在有很多利用系统漏洞传播的病毒,所以给系统打全补丁也很关键.
5.安装专业的防毒软件升级到最新版本,并开启实时监控功能.
6.为本机管理员帐号设置较为复杂的密码,预防病毒通过密码猜测进行传播,最好是数字与字母组合的密码.
7.不要从不可靠的渠道下载软件,因为这些软件很可能是带有病毒的.
更多资讯请登陆金山毒霸官方网站查询:www.kingsoft2008.net.cn
专杀下载
