下载器瞄准卡巴 窃听者变身微软程序

    针对杀毒软件的病毒木马越来越多。记者近日从金山毒霸方面获悉，覆盖式下载器可以阻止卡巴斯基等主流安全产品，而窃听者木马则选择了更好的伪装方式，变身微软的升级程序。

    “覆盖式下载器”（Win32.Troj.Agent.tr），这是一个下载者木马，它采用覆盖感染的方式感染系统文件以达到随系统启动而启动。它会破坏卡巴斯基、360安全卫士等安全软件的正常运行，然后下载其它恶意程序到本机运行。
 
    “窃听者木马276480”（Win32.Troj.AgentT.vx.276480），这是一个木马程序。它运行后，会添加Run启动项，伪装为系统升级文件Microsoft Update，监视用户浏览的网址和搜索的关键字等信息，并将其发送给木马种植者。

    一、“覆盖式下载器”（Win32.Troj.Agent.tr）  威胁级别：★★

    病毒在进入用户系统之后，会首先将conime.exe、internat.exe、ctfmon.exe这三个病毒文件释放到系统盘的%WINDOWS%\system32\dllcache\目录下，并且覆盖感染系统桌面进程的文件explorer.exe。这样，只要用户启动电脑，病毒就能够随着explorer.exe的运行而跟着跑起来。

    一旦病毒开始运行，它会查找当前系统中是否安装有杀毒软件“卡巴斯基”，如有，则修改系统时间为2001年导致卡巴失效，同时创建线程搜索并强行中止安全辅助软件“360安全卫士”的进程，对于“Windows文件保护”的警告窗口，它也会将其隐藏，不让用户知道系统正受到破坏。

    当解除掉用户电脑的防御，该病毒就悄悄建立远程连接，从木马种植者制定的网址http://www.33**92.com/下载一份名为hostx.txt的木马列表，根据上面的地址去下载更多的其它恶意程序，给用户系统造成各种可能的破坏。

    由于此病毒是对explorer.exe采取覆盖式感染，被查杀后，系统桌面将不能启动。因此，对它还需以预防为主。

    二、“窃听者木马276480”（Win32.Troj.AgentT.vx.276480）  威胁级别：★★

    病毒进入电脑系统后，会把病毒文件spool.exe释放到系统盘的%windows%\system32\目录下，并迅速修改注册表中的数据，将该文件加入启动项，使自己实现开机自启动之目的。

    为了迷惑用户，更好的潜伏在系统中，病毒在建立启动项时，会将其命名为“Microsoft Update”，看上去就像是系统自带的升级程序组件。而实际上，它在运行起来后所做的建立监视程序，记录用户使用IE浏览器时浏览的网址、搜索的关键字等信息。

    将记录到的信息汇总之后，病毒会在后台建立远程连接，在用户无法知晓的情况下，将它们发送至木马种植者安排的地址http://bi**ao.me**u.com。通常情况下，这类数据会被木马种植者用来统计中毒用户的上网习惯，达到商业目的，但这无疑会造成用户的个人隐私或商业机密的泄露。如果被不怀好意者掌握这类数据，用户甚至有可能遭受损失。