|
流量劫持者广告木马 IE浏览器疯狂刷新(1) “流量劫持者”(Win32.Troj.VB.40960),这是一个广告木马。它可以对IE6、IE7浏览器地址栏进行劫持来刷搜索流量,同时监视用户的进程操作,并隐藏安全软件的窗口。该木马还会不时弹出木马制作者指定的网站广告。
“断网病毒下载器”(Win32.VirInstaller.Mudrop.fc.139264),这是一个下载者木马。该病毒运行后,会立即从网络上下载大量的病毒。并且关闭瑞星,金山,卡巴等杀毒软件。同时,它还发送大量的ARP欺骗数据干扰网络,造成用户无法正常上网。
“流量劫持者”(Win32.Troj.VB.40960) 威胁级别:★★
病毒运行后,在%Program Files%\Common files\目录下生成病毒文件l003.exe和bak.dat,随后,利用bak.dat将自身原始文件删除,避免被用户发现。接着,它修改注册表,加入一个名为“~@#”的启动项,并将该启动项指向到之前生成的l003.exe病毒文件,这样一来,每次用户启动系统时,病毒程序也随之启动。
此病毒会挟持用户电脑上已安装的百度搜索,寻找IFrame,获取浏览器地址栏中的网址,搜索其中是否有木马制作者希望增加流量的网址。如有,便在其地址前面添加字符串"Word">http://www.baidu.com/baidu?tn=05netcn_cb&word="后写回到地址栏,以此造成重复搜索,骗取搜索流量。
同时,该病毒还会监视用户的进程操作,如发现冰刃等安全软件的窗口,就将其隐藏,阻止用户删除病毒本身。并将用户的进程信息发送到木马制作者指定的地址http://r******sp.host1.nuno.cn/count/dj.htm进行分析,从中获得用户个人隐私。此外,它还会不时弹出http://www.kongfen.com/广告,干扰用户的正常上网。
“断网病毒下载器”(Win32.VirInstaller.Mudrop.fc.139264) 威胁级别:★★
病毒运行后,先在系统盘的\windows\system32\drivers\目录和\windows\system32\Com\目录下分别释放出pcibus.sys及comrepl32.exe两个文件,然后将comrepl32.exe文件加入注册表,达到随系统启动而启动的目的。
为防止被安全软件删除,病毒运行后立刻搜索瑞星、金山、天网、卡巴斯基、360安全卫士等安全软件的进程,一旦发现,便将其关闭,使用户的系统安全性大大降低,病毒便连接 http://www.9*****3.com/e*****sto.txt 这一地址,获得病毒列表,根据该文本文件里的病毒列表去下载更多病毒。同时,该病毒会在本机4444端口创建一个后门,通过该端口进行ARP操作,干扰用户上网。而且,黑客也可通过该后门进行远程连接,获取用户系统内的信息。
| 
