病毒劫持常用安全軟體　雙進程保護自身

「劫持式下載器127109」（Win32.TrojDownloader.Agent.ac.127109），該病毒是一個下載者木馬。病毒運行後會從網上下載其他的病毒文件至用戶的機器上並運行。

「盜號下載者101715」（Win32.Troj.DownloaderT.m.101715），這是一個盜取木馬。它會刪除系統上的安全漏洞修補文件，並破壞安全輔助軟體「360安全衛士」的正常運行，然後盜取系統上的網絡遊戲《問道》的賬號信息，並下載其它木馬程序。

一、「劫持式下載器127109」（Win32.TrojDownloader.Agent.ac.127109） 威脅級別：★★

病毒進入系統後，在系統盤中釋放出三個病毒文件，分別是%Program Files%目錄下的meex.exe、%Program Files%/Common Files/Microsoft Shared/目錄下的.exe，以及%Program Files%/Common Files/System/下的.exe。需要注意的是，這兩個「.exe」進程名字為空，對用戶具有一定的迷惑作用，並且它們互為保護，使用普通方法無法結束其進程。

隨後，病毒修改系統註冊表啟動項，將自己的相關信息加入其中，實現開機自啟動。同時，為便於以後開展破壞，它會搜索並劫持系統中已安裝的安全軟體，令它們失效。包括毒霸、瑞星、卡巴斯基、諾頓、QQ醫生等在內的常見安全產品都是它的劫持目標。

當解決掉安全軟體，病毒就在用戶無法察覺的情況下建立遠程連接，從木馬種植者指定的地址www.w*****.com下載名為TDown1.exe和ReadDown.txt的下載列表，然後根據它們裡面的地址去下載更多其它惡意程序到用戶電腦上運行，給用戶系統造成無法估計的破壞。

此外，病毒在發作時，會監視用戶的文件夾瀏覽情況，如發現用戶試圖打開病毒藏匿的文件夾，就會將窗口關閉。如果用戶在自己電腦上發現這種情況，那很有可能就是中了此毒。

二、「盜號下載者101715」（Win32.Troj.DownloaderT.m.101715） 威脅級別：★

病毒進入用戶的系統後，會在系統盤的%WINDOWS%/Temp/目錄下釋放出病毒文件*dw.dll(*號代表病毒原始文件的文件名)。

然後，它迅速展開監視，只要發現用戶試圖打開殺毒軟體「江民」和安全輔助軟體「360安全衛士」，就關閉它們的窗口，使得用戶無法利用這些安全產品查殺病毒。如果用戶電腦中安裝有殺毒軟體「卡巴斯基」，病毒會修改系統時間為2004年，造成卡巴斯基失效。

接著，病毒在系統盤的%windows%/system32/目錄下查找是否存在windows系統「KB908531」號安全更新的程序 「VerClsid.exe」文件，則刪除，以便於自己能更順利的進行破壞。

等掃清障礙，病毒就調用之前生成的病毒文件，注入系統桌面進程explorer.exe中，展開全局監視，如果發現系統上安裝得有網絡遊戲《問道》，就注入遊戲記憶體，讀取賬號信息並發送給木馬種植者。

除盜竊網游賬號信息外，該病毒還會在後台悄悄連接木馬種植者指定的遠程地址 http:/ /www.c*t**6*6.com，下載一份病毒列表，然後按照列表中的地址去下載更多其它木馬程序，給用戶的系統造成更多威脅。

金山反病毒工程師建議

1.最好安裝專業的殺毒軟體進行全面監控，防範日益增多的病毒。用戶在安裝反病毒軟體之後，應將一些主要監控經常打開（如郵件監控、記憶體監控等）、經常進行升級、遇到問題要上報，這樣才能真正保障計算機的安全。

2.由於玩網絡遊戲、利用QQ聊天的用戶數量逐漸增加，所以各類盜號木馬必將隨之增多，建議用戶一定要養成良好的網絡使用習慣，及時升級殺毒軟體，開啟防火牆以及實時監控等功能，切斷病毒傳播的途徑，不給病毒以可乘之機。

(