12月29日病毒预警：灰鸽子与木马双双来袭

　　【eNet硅谷动力消息】“灰鸽子变种762368”（Win32.Hack.Huigezi.fg.762368），该木马为灰鸽子变种。它运行后，会自动获取中毒用户的IP地址，并悄悄建立与黑客服务器端的远程连接。这样，黑客就可对中毒计算机实施各种操作和破坏。

　　“木马下载器181248”（Win32.Troj.Agent.181248），这是一个木马下载器。病毒作者运用了大量加密解密技术来逃避安全软件的监控，然后将病毒注入其它进程空间运行，从网络上下载大量的恶意程序。

　　一、“灰鸽子变种762368”（Win32.Hack.Huigezi.fg.762368）威胁级别：★★

　　病毒进入系统后，会把自己的病毒文件huaerzhuangyo.exe复制到系统盘的%WINDOWS%目录下，并在未经用户允许的情况下迅速修改注册表，把自己的相关信息家入启动项，使自己以后都能随着系统启动而自动运行起来。

　　当顺利地随系统跑起来后，病毒就开始分析中毒用户的真实IP地址，并在用户无法察觉的情况下自动建立远程连接，与黑客指定的服务端地址http://c*ro**na.v**p.net取得联系。同时，病毒会在中毒电脑上打开端口号为8000的端口，一旦这个端口被打开，黑客就可通过它完全控制中毒电脑。

　　届时，在中毒电脑上。无论是文件的创建与删除，还是服务的启动与停止，都将处于黑客的掌控之中，黑客不仅能任意查看用户存放在电脑上的资料，甚至还能遥控中毒电脑去攻击别的正常电脑，进行各种网络犯罪，并栽赃给中毒电脑的用户。

　　二、“木马下载器181248”（Win32.Troj.Agent.181248）威胁级别：★★

　　病毒进入用户的电脑系统后，在系统盘的%WINDOWS%\temp\目录下释放出病毒文件~1e2ab1a9506114473.tmp。此处需要注意的是，该文件名是病毒根据用户系统的计算机名随机计算出来的，并不固定，不过其古怪的名称可以作为辨认它的一个特征。而该文件是病毒用于保存自己EXE原始文件的，因此，找到它，就能顺藤摸瓜，揪出病毒原始文件。

　　但在用户把它揪出来前，病毒会继续自己的破坏行为。它在%WINDOWS%\system32\目录下生成用于保存自己配置信息的病毒文件kerberos.cpl，而且这个文件名也是随机的。

　　随后，病毒修改注册表，把自己加入启动项，达到随系统自动启动之目的。如果它能顺利运行起来，就会把自己注入到系统内的其它进程，利用它们空间来运行自己，下载大量的其它的盗号木马和病毒，给用户造成无法估计的损失。

　　顺便提及用户，被下载到用户电脑上的病毒，会以随机名称放在之前生成的%WINDOWS%\temp\目录下。

　　作者：