2007-12-31 11:07:41 作者:模板天下收集整理 来源:未知 网友评论 0 条
论坛 】“MSN跳虫55808”(Win32.TrojDownloader.MSNBot.m.55808),这是一个通过MSN聊天工具进行传播的木马
程序。病毒会从指定网址下载木马程序,并将下载的木马通过MSN来进行传播。它还具有自删除的功能。
“IE小广告33280”(Win32.TrojDownloader.Zlob.33280),这是一个广告
软件。该程序运行后,会添加名为“IE Anti-Spyware”的IE菜单项,并在未经允许的情况下更改用户的IE搜索引擎设置,把用户引导到木马作者指定的网站。
一、“MSN跳虫55808”(Win32.TrojDownloader.MSNBot.m.55808) 威胁级别:★
病毒进入系统后,在%WINDOWS%\system32\下释放出病毒文件rmbsvc.exe,同时还在%WINDOWS%\temp\目录下释放出一个随机命名的.exe病毒文件。然后,它修改注册表启动项,实现随系统自启动之目的。完成此步骤后,病毒就删除原始文件,避免被用户发现。
病毒如果顺利运行起来,会检查与MSN相关的窗口
信息,如果找到,它就悄悄建立远程连接,向p**l.hy**id*x.com这一由木马作者指定的服务器发送系统当前用户的信息,如用户名、系统版本号等。服务器受到中毒用户的信息后,会根据用户的系统配置,向病毒反馈下载指令信息。病毒根据此信息从http://www.n**au.dk/m**ia上获取一个下载列表,再按照下载列表的
地址从http://www.st*die**oep**tselen.nl/co***onents/com_sef/cgi-bin/这个站点下载更多的病毒。
新的病毒被下载后,首先会被暂存到%WINDOWS%\temp\目录,随后被打包进一个随机命名的.zip压缩包中。然后,病毒会向用户MSN好友名单中的好友发送这个含毒压缩包,以扩大自己的传染范围。
二、“IE小
广告33280”(Win32.TrojDownloader.Zlob.33280) 威胁级别:★
病毒进入系统后,立即在病毒所在的目录生成生成isfmdl.dll和isfmm.exe,然后修改注册表,在里面添加名为“start”的启动项。这样,系统启动时,病毒就能跟着自动运行起来。
病毒会注册为浏览器帮助插件,以便在系统启动或运行IE时自动加载isfmdl.dll,而为了迷惑用户,它伪装为名为“IE Anti-Spyware”的安全软件,还装模作样地在IE“工具”菜单中添加一个名为IE Anti-Spyware的菜单项。
接着,病毒更改IE浏览器 默认的搜索引擎,将其设置为“http://www.s**rc***ghere
.net/index.php?b=1&t=0&q=”这个由木马作者指定的地址,还把IE首页修改为另一个由木马作者指定的地址http:/**s40**age.com。只要用户打开IE,就会被自动引导到该网站,浏览广告信息,为该网站“贡献”流量。
为防止用户删除,病毒会采取强行安装的流氓做法,它把自己加载到资源管理器中,并进行自保护,使得用户不容易删除它。
