病毒利用微軟交互接口技術劫持IE瀏覽器

【賽迪網-IT技術報道】「BHO下載器1015296」（Win32.TrojDownloader.Delf.1015296），這是一個木馬下載器程序。它會註冊為「BHO」插件，隨著系統桌面進程Explorer.exe啟動，創建獨立線程連接網絡，下載其它木馬程序到用戶電腦中運行。

「替身下載器49152」（Win32.TrojDownloader.Guupk.ps.49152），這是一個木馬後門程序。該程序會釋放WMI測試程序，更改公共信息模型類、實例和方法等，啟動IE瀏覽器從指定網址下載一些木馬。

一、「BHO下載器1015296」（Win32.TrojDownloader.Delf.1015296） 威脅級別：★★

BHO是微軟推出的一種交互接口的業界標準，它使第三方的軟體通過簡單的代碼就可以進入IE瀏覽器領域的「交互接口」，成為瀏覽器的一部分，以實現對瀏覽器進行指定的操作。這個技術本是為了擴展IE的功能，為IE用戶提供便利。但是，病毒作者也學會了利用這一技術來控制他人電腦。下面發出預警的這個病毒，就是一個利用BHO傳播的木馬下載器。

這個病毒進入用戶系統後，將病毒文件TDAtOnce_Now.dll釋放到系統盤的%Document and Settings%/All Users/Application Data/Intel/Wireless/WLANProfiles/目錄下，然後修改系統註冊表，將自己註冊為BHO插件，劫持了IE瀏覽器的運行。

以後只要用戶啟動電腦，病毒就可以隨著桌面系統進程Explorer.exe運行起來，然後在用戶使用IE瀏覽器時，悄悄建立遠程連接，從http://m*s.*8.com/sg/send2.asp、http://www.j9***3.com等多個由病毒作者指定的遠程地址下載木馬程序。

預防BHO木馬比較有效的方法，是盡可能不要瀏覽不良網站，也不要去非法下載網站下載資料，並且打開「清理專家」中的網頁防掛馬功能。

二、「替身下載器49152」（Win32.TrojDownloader.Guupk.ps.49152） 威脅級別：★★

病毒進入電腦後，在系統盤的%WINDOWS%/system32/wbem/Repository/FS/目錄下釋放出病毒文件INDEX.MAP、MAPPING.VER、MAPPING1.MAP、OBJECTS.MAP，用它們替換掉同名的系統文件，從而達到更改公共信息模型類、實例和方法的目的。一旦替換完成，它就能在用戶電腦中肆意破壞了。

接著，病毒在註冊表中添加了註冊項，實現自動啟動之目的，如果用戶進行手動查殺，在檢查註冊表時需留意病毒的啟動項名為「EXE」，對應路徑為「%Program Files%/Common Files/System/GU.exe」。

當完成以上步驟，順利運行起來，木馬會自動連接木馬種植者指定的多個站點，下載其它木馬到用戶電腦上運行。雖然目前木馬種植者已經關閉了這些鏈接，但不排除恢復鏈接或在升級後的病毒中安排新鏈接地址的可能。

金山反病毒工程師建議

1.最好安裝專業的殺毒軟體進行全面監控，防範日益增多的病毒。用戶在安裝反病毒軟體之後，應將一些主要監控經常打開（如郵件監控、記憶體監控等）、經常進行升級、遇到問題要上報，這樣才能真正保障計算機的安全。

2.由於玩網絡遊戲、利用QQ聊天的用戶數量逐漸增加，所以各類盜號木馬必將隨之增多，建議用戶一定要養成良好的網絡使用習慣，及時升級殺毒軟體，開啟防火牆以及實時監控等功能，切斷病毒傳播的途徑，不給病毒以可乘之機。

(