病毒伪装成MSN 安全软件成死机“杀手”

作者：中关村在线 张齐

    今天，金山公司对两种最新流行的病毒发布了预警公告。由于近期病毒频频对杀毒软件进行欺骗，并且通过伪装方法让用户难以识别，建议广大用户即使升级病毒库和系统补丁。

    “警戒干扰者139776”（Win32.Troj.Agent.139776），这是一个会修改IE浏览器安全设置的木马。它进入系统后，会在后台启动IE浏览器进程，并修改IE浏览器的安全设置，使其它病毒及恶意程序能够轻松地进入用户系统，进行破坏活动。

    “刷屏下载器65536”（Win32.TrojDownloader.Small.65536），这是一个下载器，该

病毒源文件会伪装成MSN的外观，容易迷惑用户，当用户运行该病毒后，病毒源文件会自删除，使用户无法再找回病毒源。病毒运行后会自行下载病毒文件到系统目录下，自添加病毒启动项，随系统的启动而触发。当用户运行文件时，会出现无法打开的状况，有感染的症状。
 
    一、“警戒干扰者139776”（Win32.Troj.Agent.139776）  威胁级别：★★
  
    病毒顺利进入用户的电脑系统后，将三个病毒文件释放到系统盘的%windows%\system32\目录下，分别为CesMain.exe、CesMain.dll，以及CesMain2.dll。
   
    三个病毒文件均有分工，其中的CesMain.exe是病毒主程序，它的任务是在用户无法察觉的情况下，于后台服务中悄悄启动IE浏览器进程，而两个DLL文件，其中一个负责修改

注册表启动项，将病毒主程序的相关信息写入其中，使病毒以后可以在用户每次启动电脑时跟着自动运行起来，另一个则负责注入IE进程，进行破坏活动。
   
    当主程序将IE启动之后，负责破坏活动的DLL文件就会注入IE进程中，修改IE的安全配置数据，将其安全等级降低。这样一来，当用户上网时，其它病毒和恶意程序就很容易进入用户电脑，给系统造成无法估计的破坏。

    二、“刷屏下载器65536”（Win32.TrojDownloader.Small.65536）  威胁级别：★★
   
    病毒进入电脑系统后，在系统盘的%windows%\system32\目录下释放出病毒主程序msnmsgr.exe，以及在%windows%\Downloaded Program Files\目录下释放出病毒文件msgr.dll。由于其名称与外观都与微软MSN通讯软件接近，用户就不易发现它。
   
    然后，病毒修改注册表，添加自己的主程序信息到启动项。这样，当用户在重启机器时，它就会随着系统的启动而触发。当病毒运行起来后，它会破坏系统中已安装的安全软件的相关数据，以及篡改大量的系统参数，如果用户试图查看启动项和使用安全软件时，系统就会突然死机，然后自动刷屏一次。而当病毒的犯罪最为猖獗之时，不仅仅是安全软件，所有的可执行文件、网页文件都会遇到以上麻烦，令用户无法正常工作。
   
    该病毒的行为不仅仅是影响用户使用电脑，如果用户注意查看系统盘临时文件夹的目录，就会发现已有部分病毒文件被下载到其中，名称如gtapi.dll、tt.exe、qq.exe等。原来，病毒之前的破坏行为，都是为它能下载其它病毒到用户系统中所做的铺垫。当这些病毒文件发作之后，用户将遭受无法估计的更大损失。