“漏洞下载器5802”(JS.Downloader.vz.5802),这是一个病毒下载器。它利用WINDOWS系统的MS06-014漏洞,以及BaiduBar(百度搜霸工具条),PPStream(PPS网络电视)的漏洞来进行非法下载行为,将更多的病毒下载到用户电脑中运行。
“伪装进程下载器208896”(Win32.Troj.Agent.208896),这是一个木马下载程序。该程序图标为Windows默认可执行文件图标,病毒扩展名为exe,主要通过网页木马、文件捆绑方式传播。
一、“漏洞下载器5802”(JS.Downloader.vz.5802) 威胁级别:★
这个下载器主要是利用网页挂马的方式进行传播,它可根据用户系统的实际情况,利用多款软件的安全漏洞实施下载行为,具有一定的智能型。
毒霸反病毒分析师检查后发现,这个病毒是一个脚本文件,可轻易挂到安全性能较差的网站上,进入用户系统后,它立即检查用户电脑中是否存在WINDOWS系统的MS06-014漏洞,以及 2.0.2.144版本的BaiduBar.dll和2.0.1.3829版本的PPStream。
如果有,病毒就利用它们,在用户无法知晓的情况下建立远程连接,从病毒作者指定的网站http://web.ha****liang.com//dm/下载更多其它病毒。
如果系统或第三方软件的漏洞不即时修补,那么不论杀毒软件如何升级,都无法有效防护系统安全,因此,一定要及时打好安全漏洞的补丁。
二、“伪装进程下载器208896”(Win32.Troj.Agent.208896) 威胁级别:★
病毒进入系统,就在系统盘的%Documents and Settings%\fish\Local Settings\History\History.IE5\MSHist012008050620080507\目录下释放出病毒文件index.dat,然后遍历进程,检测当前进程中是否存在卡巴斯基的进程AVP.exe,若存在则修改当前系统时间,使卡巴不能正常运行。
然后,病毒在系统中搜索onime.exe、internat.exe、ctfmon.exe、explorer.exe等进程文件名,若发现其中之一,则执行自己释放在%WINDOWS%\system32\dllcache\目录下的同名程序。这样,它就能光明正大地运行起来,而用户会认为那是正常的系统文件。
接下来,病毒会隐藏“Windows 文件保护”的窗口,试图阻止用户手动查杀。然后就建立远程连接,依次访问下载列表中的网站,将多种病毒和木马程序下载到系统的临时目录中运行。经毒霸反病毒工程师检查,它所下载的病毒大部分为破坏系统安全模块和盗取游戏帐号信息的木马。