“还原卡破坏者73728”木马下载器专杀
病毒别名:Win32.TrojDownloader.Agent.73728
中文名称:还原卡破坏者73728
威胁级别:★★☆☆☆
病毒类型:木马下载器
病毒长度:73728
影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行为:
这是一个木马下载者程序.该病毒运行后会修改系统文件、打开本地端口协议端口连接网络,然后下载病毒,并穿透电脑上安装的还原卡,运行病毒.
这个下载器在对抗系统安全模块方面做了许多工作,它能绕开安全模块的监视,非法连接远程服务器,甚至还可以穿透还原卡.
病毒在进入电脑后,立刻修改系统%WINDOWS%文件夹中的系统桌面文件explorer.exe,同时将正常的原文件复制到%WINDOWS%\system32\目录中.接着就运行起来,打开本地端口协议UDP端口.
然后,生成文件:
C:\WINDOWS\tubv.exe
C:\WINDOWS\system32\explorer.exe
释放自己的文件tubv.exe到%WINDOWS%目录中.病毒在C盘根目录下生成一个emsf3.bat文件和一个rmeslf.bat文件,用它们删除病毒的原始文件和那个被修改过的explorer.exe,销毁自己到过电脑的证据.修改注册表,
添加注册表创建名为NtfdDisk的服务
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtfdDisk]
完成以上工作后,该病毒利用打开的端口,连接病毒作者指定的地址,下载一份病毒列表,再根据其中的地址,下载数十个其它病毒.该病毒运行后主要特征是打开本地端口协议UDP端口1809 ,1810,然后修改WINDOWS\explorer.exe把原文件复制到C:\WINDOWS\system32
创建C:\emsf3.bat删除自身,创建c:\rmeslf.bat删除C:\WINDOWS\explore.exe.经毒霸反病毒工程师检查,这些病毒都是各种个样的盗号木马.会盗窃多种网游和网银的帐号信息.
反病毒工程师还发现,该下载器针对网吧等场所的电脑,配备有对抗还原卡功能.它可以利用磁盘驱动技术,穿透还原卡保护,从而让自己所下载的这些木马长久地驻留在受害电脑中.
专家预防建议:
1.建立良好的安全习惯,不打开可疑邮件和可疑网站.
2.不要随意接收聊天工具上传送的文件以及打开发过来的网站链接.
3.使用移动介质时最好使用鼠标右键打开使用,必要时先要进行扫描.
4.现在有很多利用系统漏洞传播的病毒,所以给系统打全补丁也很关键.
5.安装专业的防毒软件升级到最新版本,并开启实时监控功能.
6.为本机管理员帐号设置较为复杂的密码,预防病毒通过密码猜测进行传播,最好是数字与字母组合的密码.
7.不要从不可靠的渠道下载软件,因为这些软件很可能是带有病毒的.
更多资讯请登陆金山毒霸官方网站查询:www.kingsoft2008.net.cn
专杀下载
