病毒釋放具有迷惑性的explorer.exe文件

「桌面偽裝木馬23552」（Win32.Troj.Downloader.ex.23552），這是一個木馬下載者病毒。該病毒運行後，釋放一個偽explorer.exe，以便隨系統自動啟動。從配置信息中讀取下載的網址，從該網址處下載其他病毒到用戶系統中運行。

「牧民遠程控制361984」（Win32.Hack.Delf.388261），這是一個黑客控制木馬。該病毒運行後，會自動添加到系統服務。當隨系統開機啟動後，創建單獨的svchost.exe進程，並將dll模塊加載到其中，然後開啟遠程線程創建後門等待黑客控制被感染機器。

一、「桌面偽裝木馬23552」（Win32.Troj.Downloader.ex.23552） 威脅級別：★

病毒進入系統後，在系統盤的%WINDOWS%/system32/目錄下釋放出BOLE.ini、explorer.exe、netsrv.dll等三個病毒文件。其中explorer.exe是病毒主程序，在釋放完畢後，病毒就會把此文件的相關信息寫入系統註冊表的啟動項，這樣以後它就可隨系統自動啟動，由於這個病毒文件與系統桌面進程同名，對用戶具有一定迷惑性。

當成功運行起來，病毒就讀取之前釋放出的病毒文件BOLE.ini。此文件為病毒配置信息，病毒根據裡面的信息，悄悄建立遠程連接，從木馬種植者指定的地址http://xxxxx.1a2b3c1.net/下載一份名為list.txt的木馬列表，再讀取其中的地址，下載更多的其它木馬程序到中毒電腦中運行，引起更多無法估計的破壞。

此外，由於木馬種植者可隨時更改木馬列表中的下載地址和程序，因此該病毒也就具備了一定的更新能力。

二、「牧民遠程控制361984」（Win32.Hack.Delf.388261） 威脅級別：★★

病毒順利潛入用戶系統後，將病毒文件sysi.dll釋放到系統盤的%WINDOWS%%/system32目錄下，然後修改系統註冊表，創建系統服務，將自己設置為開機自啟動。對註冊表熟悉的用戶如果檢查註冊表，就能發現裡面已經被添加了可令電腦自動上線的資料。

當病毒開始運行，它會創建單獨的svchost.exe進程，並將之前生成的dll文件加載到其中，創建後門。然後在用戶無法察覺的情況下開啟遠程線程，連接http://yk2812017.3322.org:8000這個由黑客（木馬種植者）指定的地址，使黑客可以控制被感染機器。

由於svchost.exe在正常的電腦中也可能同時出現多個，這就造成一些初級用戶感到迷惑，難以識別哪個是病毒進程。而當黑客控制中毒電腦後，他就能進行幾乎任何想要的操作，甚至利用中毒電腦去攻擊其它電腦，給用戶造成無法估計的損失和麻煩。

金山反病毒工程師建議

1.最好安裝專業的殺毒軟體進行全面監控，防範日益增多的病毒。用戶在安裝反病毒軟體之後，應將一些主要監控經常打開（如郵件監控、記憶體監控等）、經常進行升級、遇到問題要上報，這樣才能真正保障計算機的安全。

2.由於玩網絡遊戲、利用QQ聊天的用戶數量逐漸增加，所以各類盜號木馬必將隨之增多，建議用戶一定要養成良好的網絡使用習慣，及時升級殺毒軟體，開啟防火牆以及實時監控等功能，切斷病毒傳播的途徑，不給病毒以可乘之機。

(