“FTP傀儡34816”(Win32.TrojDownloader.Mnless.34816) 威胁级别:★★
这个病毒能够利用捆绑其它文件的方式进行传播。该毒进入电脑后,将自己的文件setupapi.dll释放到IEXPLORER目录下。接着检查自己的dll文件是否被IEXPLORER.EXE、OPERA.EXE、FIREFOX.EXE等浏览器的进程加载,若不是,便退出程序,以载入指定动态链接库的方式加载自己。
无论采取哪种加载方式,一旦得以运行。此毒便检查注册表,查看用户是否安装有FlashFXP、VanDyke SecureFX、Ipswitch WS_FTP、LeapFTP等工具。
如果发现用户有安装以上FTP工具,此毒则调用这些工具去病毒作者指定的远程地址
http://66.1*9.2*1.1*8/ftpg/ftp.php下载一份FTP列表,然后根据其中的地址下载更多的其它病毒。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅
http://vi.duba.net/virus/win32-trojdownloader-mnless-34816-51776.html 此外值得关注病毒
“蓝屏下载器114176”(Win32.TrojDownloader.Small.114176) 威胁级别:★★
此毒的下载行为十分“光明正大”,它通过伪造蓝屏事件的方法,欺骗用户下载一个所谓的安全软件。而该“安全软件”其实是个商业广告木马程序,能长期驻守用户系统,收集用户的上网习惯。
它进入电脑后,首先会判断当前电脑中的输入法,它仅对安装了指定的八种输入法的电脑起作用,这八种输入法在国内很罕见。结合之前蓝屏提示的英文语句,毒霸反病毒工程师认为这个木马是只“洋马”。
如果确认了目标,该毒便修改注册表项,修改系统的安全级别为最低,并替换桌面的底色以及图片,去掉了桌面设置中可以设置图片与屏保的选项,让用户无法自己修复桌面和屏保。
最后,它释放伪造蓝屏的屏保,要是用户上当允许下载,它就会下载木马到本地Temp目录运行。
此外,该毒还会读取用户的上网记录,如果在其中发现病毒作者指定的一些网址,就会将这些信息发送到远程地址,这是一种信息收集方式。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅
http://vi.duba.net/virus/win32-trojdownloader-small-114176-51777.html “伪装卡巴下载器466944”(Win32.Troj.XSey.a.466944) 威胁级别:★★
该毒的运行过程看上去比较复杂,对注册表有很多修改。它进入用户的电脑系统后,就将自己的文件以随机名称的方式释放到输入法文件的目录%WINDOWS%\IME\下,并通过一系列的注册表修改,让自己与微软拼音输入法的进程一起运行,达到开机自启动之目的。
运行起来后,该毒连接到病毒作者指定的远程地址
http://zz.a***av.com/ ,下载一个名称为avp.exe的木马文件,存放在%WINDOWS%目录中。该文件与杀毒软件卡巴斯基的进程名一样,因此具有一定的迷惑性。
不过,也正因为如此,如果没有安装卡巴的用户在以上目录发现了此文件,那就说明电脑可能遭受了攻击。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅
http://vi.duba.net/virus/win32-troj-xsey-466944-51773.html