病毒向杀毒软件下狠手 各类方法无所不用

51testing

“安全杀手下载者53248”（Win32.TrojDownloader.Tiny.nc.53248），这是一个木马下载者，其主要功能为从网络下载其他木马病毒感染用户。该病毒对用户造成潜在的威胁，后续下载的病毒将导致众多安全软件无法运行，另会下载众多的网络游戏盗号木马。　　“ARP下载者155648”（Worm.Downloader.p.155648），这是一个网络下载者，从网络上下载病毒文件，并对局域网内的计算机进行ARP欺骗，传播病毒文件。
　　一、“安全杀手下载者53248”（Win32.TrojDownloader.Tiny.nc.53248） 威胁级别：★★
　　这是一个木马下载者，它通过网络传播。较其它下载者来说，该病毒显得更为“凶猛”，因为它进入电脑后，会首先对安全软件下手。病毒搜索大部分安全软件的安装目录，将病毒文件 ws2_32.dll或MFC42.dll插入其中，并设为无法删除的隐藏文件。一旦完成这个步骤，当用户启动安全软件时，就会收到报错提示而无法启动。
　　随后，病毒搜索打开的IE浏览器，并调用浏览器，从http://p**.1***g/S368/S368.exe这一地址下载新的病毒，若用户安装有卡巴斯基杀毒软件，新下载的病毒便将系统时间被置为1966年或与其它当前年份不符的时间，使卡巴斯基失效。接下来，它下载更多的网游盗号木马，伺机窃取用户的账号密码等信息。
　　由于此病毒的行为十分隐蔽，普通防火墙将不会警告病毒的下载操作。但用户可在C:windowssystem32中发现大量名称形如XXdoorX.dll的木马文件。
　　二、“ARP下载者155648”（Worm.Downloader.p.155648） 威胁级别：★★
　　这是一个木马下载者，病毒运行后在 %SystemRoot%system32Comcomrepl32.exe目录与 %SystemRoot%system32driverspcibus.sys目录下释放出病毒文件，并修改注册表，以便随系统自动启动。
　　该病毒隐蔽性较高，它在%SystemRoot%system32目录下svchost.exe程序的空间内运行病毒程序，隐藏自身。若系统中安装有卡巴斯基，病毒还能将系统时间中的年份修改为2001年，暂时禁用卡巴基斯基，运行完毕后，再将系统时间改回正确的年份。如此一来，用户就更不易发现它的存在。
　　确定卡巴斯基“瘫痪”后，病毒便在用户无法知晓的情况下连接网络，从网上下载其它病毒，将它们以conime?.exe文件名的形式保存到%Program Files%目录下，需要注意的是，病毒名称中的“?”为随机生成的0-9数字，或a-z的小写字母。
　　除了在本机上造成危害，该病毒还会向外发送ARP包，对局域网内的计算机进行ARP攻击，并通过ARP攻击传播病毒文件。因此，它在局域网中的危害会更大。
　　金山反病毒工程师建议
　　1.最好安装专业的杀毒软件进行全面监控。建议用户安装反病毒软件防止日益增多的病毒，用户在安装反病毒软件之后，应该经常进行升级、将一些主要监控经常打开（如邮件监控、内存监控等），遇到问题要上报， 这样才能真正保障计算机的安全。
　　2.玩网络游戏、利用QQ聊天的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，及时升级杀毒软件，开启防火墙以及实时监控等功能，切断病毒传播的途径，不给病毒以可乘之机。