"竊聽者木馬276480"偽裝成系統升級文件

「覆蓋式下載器」（Win32.Troj.Agent.tr），這是一個下載者木馬，它採用覆蓋感染的方式感染系統文件以達到隨系統啟動而啟動。它會破壞卡巴斯基、360安全衛士等安全軟體的正常運行，然後下載其它惡意程序到本機運行。

「竊聽者木馬276480」（Win32.Troj.AgentT.vx.276480），這是一個木馬程序。它運行後，會添加Run啟動項，偽裝為系統升級文件Microsoft Update，監視用戶瀏覽的網址和搜索的關鍵字等信息，並將其發送給木馬種植者。

一、「覆蓋式下載器」（Win32.Troj.Agent.tr） 威脅級別：★★

病毒在進入用戶系統之後，會首先將conime.exe、internat.exe、ctfmon.exe這三個病毒文件釋放到系統盤的%WINDOWS%/system32/dllcache/目錄下，並且覆蓋感染系統桌面進程的文件explorer.exe。這樣，只要用戶啟動電腦，病毒就能夠隨著explorer.exe的運行而跟著跑起來。

一旦病毒開始運行，它會查找當前系統中是否安裝有殺毒軟體「卡巴斯基」，如有，則修改系統時間為2001年導致卡巴失效，同時創建線程搜索並強行中止安全輔助軟體「360安全衛士」的進程，對於「Windows文件保護」的警告窗口，它也會將其隱藏，不讓用戶知道系統正受到破壞。

當解除掉用戶電腦的防禦，該病毒就悄悄建立遠程連接，從木馬種植者制定的網址http://www.33**92.com/下載一份名為hostx.txt的木馬列表，根據上面的地址去下載更多的其它惡意程序，給用戶系統造成各種可能的破壞。

由於此病毒是對explorer.exe採取覆蓋式感染，被查殺後，系統桌面將不能啟動。因此，對它還需以預防為主。

二、「竊聽者木馬276480」（Win32.Troj.AgentT.vx.276480） 威脅級別：★★

病毒進入電腦系統後，會把病毒文件spool.exe釋放到系統盤的%windows%/system32/目錄下，並迅速修改註冊表中的資料，將該文件加入啟動項，使自己實現開機自啟動之目的。

為了迷惑用戶，更好的潛伏在系統中，病毒在建立啟動項時，會將其命名為「Microsoft Update」，看上去就像是系統自帶的升級程序組件。而實際上，它在運行起來後所做的建立監視程序，記錄用戶使用IE瀏覽器時瀏覽的網址、搜索的關鍵字等信息。

將記錄到的信息匯總之後，病毒會在後台建立遠程連接，在用戶無法知曉的情況下，將它們發送至木馬種植者安排的地址http://bi**ao.me**u.com。通常情況下，這類資料會被木馬種植者用來統計中毒用戶的上網習慣，達到商業目的，但這無疑會造成用戶的個人隱私或商業機密的洩露。如果被不懷好意者掌握這類資料，用戶甚至有可能遭受損失。

金山反病毒工程師建議

1.最好安裝專業的殺毒軟體進行全面監控，防範日益增多的病毒。用戶在安裝反病毒軟體之後，應將一些主要監控經常打開（如郵件監控、記憶體監控等）、經常進行升級、遇到問題要上報，這樣才能真正保障計算機的安全。

2.由於玩網絡遊戲、利用QQ聊天的用戶數量逐漸增加，所以各類盜號木馬必將隨之增多，建議用戶一定要養成良好的網絡使用習慣，及時升級殺毒軟體，開啟防火牆以及實時監控等功能，切斷病毒傳播的途徑，不給病毒以可乘之機。

(