】%26ldquo;桌面潜伏下载者95744%26rdquo;(Win32.RiskWare.AgentT.n.95744),这是一个木马下载器程序。它会修改系统桌面文件explorer.exe,将自己隐藏在里面运行。同时它还具备自我更新和自我删除的功能。
%26ldquo;PPStream漏洞下载器9078%26rdquo;(JS.Downloader.gb.9078),这是一个下载器程序。它是一个脚本病毒,会利用PPStream(PPS网络电视)的漏洞进行下载活动。
一、%26ldquo;桌面潜伏下载者95744%26rdquo;(Win32.RiskWare.AgentT.n.95744) 威胁级别:★
与大部分在AV终结者之后诞生的下载器一样,毒霸反病毒工程师此次捕获的这个病毒下载器也具有一定的对抗安全软件能力。它进入系统后,立即检测进程列表是否存在%26ldquo;贝壳磁盘保护系统%26rdquo;的进程BKPCLIENT.EXE和MENU.EXE,若有则将它们强行结束。
接着,病毒复制%WINDOWS%目录下的系统桌面进程文件explorer.exe到%WINDOWS%System32目录下,并往原始的explorer.exe里写入自己的病毒代码,再将其复制到%WINDOWS%目录下,更名为svchost.exe。
完成以上步骤后,病毒就启动这个svchost.exe文件,利用它来调用正常的explorer.exe,实现隐蔽的运行。如果成功运行起来,它就能够连接病毒作者指定的地址,下载病毒文件列表,再根据列表里的地址去下载更多其它病毒文件运行,引发更大的破坏。
同时,该病毒具有自我更新和自我删除的功能,它会自动下载更新配置文件,并在运行完成后删除自己的原始文件,以免用户发现电脑中出现多余的东西。
二、%26ldquo;PPStream漏洞下载器9078%26rdquo;(JS.Downloader.gb.9078) 威胁级别:★
利用第三方软件的漏洞进行病毒下载,要比直接对抗安全软件来得容易。因此,有相当数量的病毒下载器是针对第三方软件制作的。
此篇预警播报中的病毒,利用的是PPStream(PPS网络电视)的漏洞。它利用网页挂马、捆绑视频文件的方法混进用户电脑,然后查看用户安装的PPStream中,是否含有2.0.1.3829版本的PowerPlayer.dll文件。如果确定是该版本,病毒就会制造溢出事件。
所谓溢出,简单来说,就是指某类数据流量超过系统中负责处理该类数据的空间所能存储的容量,就好像水从池子中漫出一样,扩散到了其它区域。这样一来,就会引起系统异常,如果病毒在溢出数据中做了手脚,那么就能够趁机执行这些操作。
这个病毒在制造溢出事件后,就能够悄悄连接http://exe.x****ankl.com/这个由病毒作者指定的远程地址,下载其它病毒到用户电脑中运行,引起无法估计的更大损失。
金山反病毒工程师建议
1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。