“针孔下载器196608”木马专杀
病毒名称(中文):针孔下载器196608
病毒别名:Win32.TrojDownloader.small.196608
威胁级别:★★☆☆☆
病毒类型:木马下载器
病毒长度:27856字节
影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行为:
这是一个下载器程序.它会下载大量木马文件到系统中运行.这个下载器具有较强的对抗能力.它一进入系统,就会检查是否存在ProtectC.sys、XsMenu.exe、GuardField等还原保护软件,如发现,就利用自己的驱动文件突破它们的防御.从这点来看,毒霸反病毒工程师认为该毒的主要目标是网吧等局域网用户.同时,该毒具有较强的对抗杀软功能,还能穿透还原软件,对网吧等用户危害较大.病毒自带有一个比较庞大的劫持名单,里面包括了赛门铁克、瑞星、卡巴斯基等很多常见安全软件厂商的产品,病毒会尝试映像劫持它们.如果劫持成功,这些安全软件就会瘫痪,当用户试图运行它们时,只可能不断激活病毒体而已.
病毒经过FSG 2.0 -> bart/xt加壳
病毒会修改下列系统文件
comctl32.dll
debug.exe
tree.com
userinit.exe
修改和释放的文件执行下列功能:
1:连接指定的地址下载一个文件列表,
然后从列表中读取地址,创建线程开始下载,下载失败就暂停8888ms再下载一次.
连接指定的地址下载一个文件列表,然后从列表中读取地址,创建线程开始下载,下载失败就暂停8888ms再下载一次.
2:添加镜像劫持使一些安全软件或系统软件失效
3:检查是否存在ProtectC.sys,XsMenu.exe,GuardField等还原保护软件,进行针对性的破坏.
4:释放驱动文件,获取nvata.sys,atapi.sys,fastfat.sys,ntfs.sys中的IRP处理例程,磁盘信息等,调用驱动文件,绕过还原软件,直接读写磁盘.当顺利解除了用户电脑系统的防御,这个下载器便悄悄连接到病毒作者指定的远程地址,下载一份下载列表,根据其中的地址去下载更多其它病毒文件.经毒霸反病毒工程师分析,它所引入用户电脑的大部分病毒都是网游盗号木马.
专家预防建议:
1.建立良好的安全习惯,不打开可疑邮件和可疑网站.
2.不要随意接收聊天工具上传送的文件以及打开发过来的网站链接.
3.使用移动介质时最好使用鼠标右键打开使用,必要时先要进行扫描.
4.现在有很多利用系统漏洞传播的病毒,所以给系统打全补丁也很关键.
5.安装专业的防毒软件升级到最新版本,并开启实时监控功能.
6.为本机管理员帐号设置较为复杂的密码,预防病毒通过密码猜测进行传播,最好是数字与字母组合的密码.
7.不要从不可靠的渠道下载软件,因为这些软件很可能是带有病毒的.
更多资讯请登陆金山毒霸官方网站查询:www.kingsoft2008.net.cn
专杀下载
