08.19病毒预警：“针孔下载器”下载木马、穿透还原软件

 　“黑客木马344064”（ Win32.Hack.Ceckno.344064），这是一个黑客远程木马。它会在用户电脑中制造后门，悄悄连接黑客的远程服务器，并下载自己的最新版本进行自动更新。它的一些变种还具有弹广告窗口的功能。

　　“武装QQ盗号器55906”（Win32.PSWTroj.QQPass.55906），这是一个针对QQ即时通讯软件的盗号木马。它能够破坏一些安全软件的正常运行，并可以利用AUTO技术进行快速传播。

　　一、“黑客木马344064”（ Win32.Hack.Ceckno.344064）  威胁级别：★

　　木马主文件进入用户电脑后，就将自己的副本runouce.exe复制到系统盘%WINDOWS%\SYSTEM32\目录下，然后修改注册表启动项，让自己实现开机自启动。

　　顺利运行起来后，木马注入到IE浏览器的进程中，实现隐蔽运行，并悄悄连接到病毒作者指定的远程地址 http://www.ji***ss86772.com/，接收服务器发出的黑客指令。根据指令的不同，黑客可以实现任何他想要的操作。

　　同时，此木马会下载自己的最新版本，实现自动更新。此外，它的部分变种还具有广告木马功能，会弹出广告页面，干扰用户的正常使用。

　二、“武装QQ盗号器55906”（Win32.PSWTroj.QQPass.55906）  威胁级别：★

　　病毒进入系统后，立即将自己的副本ntldr.exe复制到各磁盘分区的根目录下，并建立autorun.Inf文件。这样，只要用户在中毒电脑上使用U盘等移动存储设备，病毒就能自动感染上去，提高自己的传播效率。

　　病毒在中毒电脑上的主文件，位于%WINDOWS%\system\目录下，名为soundmno.Exe。它会修改注册表，将自己的数据加入启动项，达到开机自启动之目的。并尝试劫持包括金山毒霸、赛门铁克、江民、360安全卫士在内的多加安全厂商的产品。

　　为阻止用户向安全软件厂商求助，病毒会监视与以上安全软件厂商有关的网页进程，一旦发现用户试图登录，就关闭浏览器。

　　如果成功地解决掉用户系统中的安全软件，该毒就搜索QQ即时聊天工具的进程，注入其中，读取用户帐号和密码信息，发送到病毒作者指定的远程地址。

“针孔下载器196608”（Win32.TrojDownloader.small.196608），这是一个下载器程序。它会下载大量木马文件到系统中运行。同时，该毒具有较强的对抗杀软功能，还能穿透还原软件，对网吧等用户危害较大。

　　“鸽子控制下载器1069056”（Win32.Hack.Huigezi.1069056），这是一个类似于灰鸽子的远程木马。它会读取用户电脑的区域设置信息，然后连接病毒作者指定的远程地址，还具有下载器的功能。

　　三、“针孔下载器196608”（Win32.TrojDownloader.small.196608）  威胁级别：★★

　　这个下载器具有较强的对抗能力。它一进入系统，就会检查是否存在ProtectC.sys、XsMenu.exe、GuardField等还原保护软件，如发现，就利用自己的驱动文件突破它们的防御。从这点来看，毒霸反病毒工程师认为该毒的主要目标是网吧等局域网用户。

　　病毒自带有一个比较庞大的劫持名单，里面包括了金山毒霸、赛门铁克、瑞星、卡巴斯基等很多常见安全软件厂商的产品，病毒会尝试映像劫持它们。如果劫持成功，这些安全软件就会瘫痪，当用户试图运行它们时，只可能不断激活病毒体而已。

　　当顺利解除了用户电脑系统的防御，这个下载器便悄悄连接到病毒作者指定的远程地址，下载一份下载列表，根据其中的地址去下载更多其它病毒文件。经毒霸反病毒工程师分析，它所引入用户电脑的大部分病毒都是网游盗号木马。

 

    四、“鸽子控制下载器1069056”（Win32.Hack.Huigezi.1069056）  威胁级别：★

　　病毒进入系统后，把自己的副本EntMian.Exe复制到系统盘的%WINDOWS%目录下，并将其写入注册表服务项，让自己实现开机自启动。

　　随后，它从注册表中读取用户电脑的区域设置信息，将其发送到http://www.W***8.org/Data这个由病毒作者指定的远程地址，然后等待远程服务器的指令。在此期间，它还会下载一份下载列表，根据其中的地址下载更多别的木马程序。

　　完成以上步骤后，病毒就生成出一个uninstal.Bat文件，用它来删除自己的原始文件，防止用户发现自己电脑中出现多余的文件。

　　另外，此毒会利用感染系统中正常exe文件来进行传播。

来源：HNC网络联盟 编辑：花脸道

【投稿】【打印】【关闭】