“文件夹邮递员”(Win32.Troj.Agent.208896) 威胁级别:★
这个蠕虫病毒具有较强的伪装和诱惑能力。与那些想方设法躲避用户发现的“同行”不同,它会将自己的病毒文件伪装成文件夹的样子,最大限度地欺骗用户去点击,以使自己得到激活。
病毒进入系统后,会立刻在全部的磁盘分区中释放出病毒文件WINDOWS.EXE、coment.htt和desktop.ini。其中WINDOWS.EXE是病毒主文件,coment.htt则负责在用户上网时,利用IE浏览器的漏洞来调用WINDOWS.EXE,而desktop.ini则是用于激活coment.htt不可缺少的“钥匙”。
当文件释放完毕,病毒就修改注册表中的相关数据,使得自己文件的后缀都隐藏起来,并给自己换上文件夹图标。它这样做,是希望让用户以为它是一个文件夹,进行点击。当病毒首次被激活时,它将自己复制到系统的字体路径(比如C:\WINNT\FONTS\)。名称是四位随机数字和字母,扩展名为“com”。 并在注册表的启动项添加“TempCom”,让自己实现开机自启动。
等到下一次被激活时,病毒就会搜索系统中的Outlook工具,读取其中的联系人邮件地址,悄悄地向联系人发送含毒邮件,扩大自己的感染范围。根据金山毒霸官方网站检测显示,为进一步提高传播速度,病毒还会查找网络上的其它计算机,试图感染更多用户电脑。
目前发现的该病毒变种,还不具备直接危害性,但随着该病毒的传播,不排除病毒作者会将其升级为黑客程序的可能,因此需要注意。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-troj-agent-208896-50589.html
“漏洞下载器5802”(JS.Downloader.vz.5802) 威胁级别:★
这个下载器主要是利用网页挂马的方式进行传播,它可根据用户系统的实际情况,利用多款软件的安全漏洞实施下载行为,具有一定的智能型。
毒霸反病毒分析师检查后发现,这个病毒是一个脚本文件,可轻易挂到安全性能较差的网站上,进入用户系统后,它立即检查用户电脑中是否存在WINDOWS系统的MS06-014漏洞,以及 2.0.2.144版本的BaiduBar.dll和2.0.1.3829版本的PPStream。
如果有,病毒就利用它们,在用户无法知晓的情况下建立远程连接,从病毒作者指定的网站http://web.ha****liang.com//dm/下载更多其它病毒。
如果系统或第三方软件的漏洞不即时修补,那么不论杀毒软件如何升级,都无法有效防护系统安全,因此,一定要及时打好安全漏洞的补丁。
