“李鬼”卡巴出现 嚣张作者留下联系方式

    元旦节过后，记者从金山毒霸方面获悉，一种模拟为卡巴斯基软件服务的病毒正在蔓延。另外，一款名为“平凡下载器”的变种木马作者，竟然在病毒附件上为自己做广告，甚是嚣张。提醒广大网民注意。

    “李鬼卡巴42492”（Worm.AutoRun.42492），这是一个下载者木马。它通过修改时间的方法使杀毒软件卡巴斯基失效，同时把自己伪装成卡巴斯基7.0的服务程序，在后台悄悄下载大量的木马病毒文件并运行。此病毒还会在所有磁盘分区的根目录下创建AUTO病毒，以便传播自己。
 
    “平凡下载器变种90112”（Win32.Trojdownloader.Agent.90112），这是一个木马下载者程序变种。病毒运行后会复制自身至系统盘中，并在所有硬盘分区的根目录下生成AUTO病毒。它还会加载一个病毒进程，利用Iexplore.exe在后台连接远程服务器，下载大量病毒及广告。
 
    一、“李鬼卡巴42492”（Worm.AutoRun.42492） 威胁级别：★★

    病毒进入用户的系统后，会把自身病毒文件sky.exe复制到系统盘的%WINDOWS%\system32\目录下，并将其属性设为系统隐藏文件，以免被用户发现。紧接着，它就搜索杀毒软件卡巴斯基的进程，如果找到，立即修改系统时间为1981-01-12，导致依赖系统时间卡巴斯基失效，然后，病毒就会试图删除卡巴斯基的服务。
   
    随后，病毒修改系统注册表，把自己的相关信息加入启动项，这样以后它都能随系统启动而自动运行起来。同时，它还会伪装成卡巴斯基7.0的服务程序。从修改时间时算起，15秒后，病毒恢复正确的系统时间，这样，它成功完成“偷天换日”，摇身变成了卡巴的模样，而用户却仍蒙在鼓里。

    当病毒顺利地开始运行后，它就在后台建立远程连接，从木马作者指定的地址下载大量其它木马文件，并立刻运行它们。同时，病毒将自身文件sky.exe复制到各磁盘的根目录下，并创建对应的autorun.inf文件，只要用户在中毒电脑上使用U盘等移动存储器，病毒就会立刻将其传染，扩大自己的感染范围。

    此外，该病毒具有自我删除的功能，当运行完后，它就在%WINDOWS%\system32\目录下创建一个Deledomn.bat文件，将自己的原始文件删除。
 
    二、“平凡下载器变种90112”（Win32.Trojdownloader.Agent.90112） 威胁级别：★

    病毒进入电脑系统后，会在系统盘的%windows%\system32\目录下释放出病毒文件TxHMoU.Exe，并在全部的磁盘分区根目录下都生成AUTO病毒文件SoS.Exe和AUToRUN.Inf，只要用户双击含毒磁盘的盘符，病毒就会立即被激活。而如果用户在中毒电脑上使用U盘等移动存储器，病毒会立刻将其传染，以扩大自己的感染范围。

    随后，病毒修改注册表，将自己的相关信息加入其中，实现开机自动启动之目的，并加载之前生成的TxHMoU.Exe文件，在后台打开IE浏览器的进程Iexplore.exe，利用它建立远程连接。从http://xx.5**l*ve.cn这个由木马作者指定地址下载大量其它病毒及广告，给用户的系统安全造成更大威胁，甚至造成用户个人隐私的泄露。

    木马作者在进行破坏的同时，还会给自己打打广告，他在病毒中附上自己的名字和联系方式，让人觉得比较嚣张。