“文件夹邮递员”(Win32.Troj.Agent.208896),这是一个蠕虫病毒程序。病毒采用文件夹图标,让用户误以为是它文件夹而点击。当被激活后,它会搜索系统中的Outlook工具,调用它来向用户的全部联系人发送携带病毒的信件。
“弹射广告315392”(Win32.Troj.Delf.tm.315392),这是一个广告木马。它会更改用户系统的IE首页设置,弹出广告网站,赚取流量。该病毒会释放出自己的驱动,保护自己在注册表中修改的数据,阻止用户进行还原。
一、“文件夹邮递员”(Win32.Troj.Agent.208896) 威胁级别:★
这个蠕虫病毒具有较强的伪装和诱惑能力。与那些想方设法躲避用户发现的“同行”不同,它会将自己的病毒文件伪装成文件夹的样子,最大限度地欺骗用户去点击,以使自己得到激活。
病毒进入系统后,会立刻在全部的磁盘分区中释放出病毒文件WINDOWS.EXE、coment.htt和desktop.ini。其中WINDOWS.EXE是病毒主文件,coment.htt则负责在用户上网时,利用IE浏览器的漏洞来调用WINDOWS.EXE,而desktop.ini则是用于激活coment.htt不可缺少的“钥匙”。
当文件释放完毕,病毒就修改注册表中的相关数据,使得自己文件的后缀都隐藏起来,并给自己换上文件夹图标。它这样做,是希望让用户以为它是一个文件夹,进行点击。当病毒首次被激活时,它将自己复制到系统的字体路径(比如C:\WINNT\FONTS\)。名称是四位随机数字和字母,扩展名为“com”。 并在注册表的启动项添加“TempCom”,让自己实现开机自启动。
等到下一次被激活时,病毒就会搜索系统中的Outlook工具,读取其中的联系人邮件地址,悄悄地向联系人发送含毒邮件,扩大自己的感染范围。为进一步提高传播速度,病毒还会查找网络上的其它计算机,试图感染更多用户电脑。
目前发现的该病毒变种,还不具备直接危害性,但随着该病毒的传播,不排除病毒作者会将其升级为黑客程序的可能,因此需要注意。
二、“弹射广告315392”(Win32.Troj.Delf.tm.315392) 威胁级别:★
这个木马是一个广告软件,它的目的就是给病毒作者指定的广告网站增加访问量和刷流量。对于网络流量费用较贵的用户来说,这种行为无异于抢钱。并且,由于大部分广告网页的安全防护能力较差,很容易被其它恶意软件挂马。
该病毒进入电脑系统后,释放出一系列的病毒文件,分别为%WINDOWS%\system32\drivers\目录下的cx24.sys和5l9f0gq.sys ,%WINDOWS%\system32\目录下的33y08.dll,同时,它将病毒作者指定的广告网页加入IE浏览器的收藏夹中。
接着,病毒修改系统注册表,实现开机自启动,如果可以成功地运行起来,它就能在后台调用IE浏览器,随机弹出病毒作者指定的网址http://7**5.com/?g,为该网站刷流量。