“李鬼”卡巴出现 嚣张作者留下联系方式

http://www.sina.com.cn 2008年01月02日 10:33  中关村在线
作者:中关村在线 张齐

    元旦节过后,记者从金山毒霸方面获悉,一种模拟为卡巴斯基软件服务的病毒正在蔓延。另外,一款名为“平凡下载器”的变种木马作者,竟然在病毒附件上为自己做广告,甚是嚣张。提醒广大网民注意。

    “李鬼卡巴42492”(Worm.AutoRun.42492),这是一个下载者木马。它通过修改时间的方法使杀毒软件卡巴斯基失效,同时把自己伪装成卡巴斯基7.0的服务程序,在后台悄悄下载大量的木马病毒文件并运行。此病毒还会在所有磁盘分区的根目录下创建AUTO病毒,以便传播自己。
 
    “平凡下载器变种90112”(Win32.Trojdownloader.Agent.90112),这是一个木马下载者程序变种。病毒运行后会复制自身至系统盘中,并在所有硬盘分区的根目录下生成AUTO病毒。它还会加载一个病毒进程,利用Iexplore.exe在后台连接远程服务器,下载大量病毒及广告。
 
    一、“李鬼卡巴42492”(Worm.AutoRun.42492) 威胁级别:★★

    病毒进入用户的系统后,会把自身病毒文件sky.exe复制到系统盘的%WINDOWS%\system32\目录下,并将其属性设为系统隐藏文件,以免被用户发现。紧接着,它就搜索杀毒软件卡巴斯基的进程,如果找到,立即修改系统时间为1981-01-12,导致依赖系统时间卡巴斯基失效,然后,病毒就会试图删除卡巴斯基的服务。
   
    随后,病毒修改系统注册表,把自己的相关信息加入启动项,这样以后它都能随系统启动而自动运行起来。同时,它还会伪装成卡巴斯基7.0的服务程序。从修改时间时算起,15秒后,病毒恢复正确的系统时间,这样,它成功完成“偷天换日”,摇身变成了卡巴的模样,而用户却仍蒙在鼓里。

    当病毒顺利地开始运行后,它就在后台建立远程连接,从木马作者指定的地址下载大量其它木马文件,并立刻运行它们。同时,病毒将自身文件sky.exe复制到各磁盘的根目录下,并创建对应的autorun.inf文件,只要用户在中毒电脑上使用U盘等移动存储器,病毒就会立刻将其传染,扩大自己的感染范围。

    此外,该病毒具有自我删除的功能,当运行完后,它就在%WINDOWS%\system32\目录下创建一个Deledomn.bat文件,将自己的原始文件删除。
 
    二、“平凡下载器变种90112”(Win32.Trojdownloader.Agent.90112) 威胁级别:★

    病毒进入电脑系统后,会在系统盘的%windows%\system32\目录下释放出病毒文件TxHMoU.Exe,并在全部的磁盘分区根目录下都生成AUTO病毒文件SoS.Exe和AUToRUN.Inf,只要用户双击含毒磁盘的盘符,病毒就会立即被激活。而如果用户在中毒电脑上使用U盘等移动存储器,病毒会立刻将其传染,以扩大自己的感染范围。

    随后,病毒修改注册表,将自己的相关信息加入其中,实现开机自动启动之目的,并加载之前生成的TxHMoU.Exe文件,在后台打开IE浏览器的进程Iexplore.exe,利用它建立远程连接。从http://xx.5**l*ve.cn这个由木马作者指定地址下载大量其它病毒及广告,给用户的系统安全造成更大威胁,甚至造成用户个人隐私的泄露。

    木马作者在进行破坏的同时,还会给自己打打广告,他在病毒中附上自己的名字和联系方式,让人觉得比较嚣张。

Powered By Google
不支持Flash
·《对话城市》直播中国 ·新浪特许频道免责公告 ·企业邮箱换新颜 ·邮箱大奖等你拿
不支持Flash
不支持Flash