「機器狗變種」穿透系統還原卡下載大量木馬

【賽迪網-IT技術報道】金山7月31日病毒播報:「機器狗變種53248」（Win32.Troj.DownLoaderT.mr.53248），這是一個機器狗下載器的變種。它能夠穿透系統還原，下載大量的木馬。為迷惑用戶，它會給自己的進程採用系統托盤區拼音輸入法的圖標。

「武裝廣告下載器72711」（Win32.vking.cf.72711），這是一個感染型的病毒下載器。它會感染除指定文件夾外的所有exe文件。如果中毒機器在局域網內，病毒將試圖通過共享傳播自身。另外，它還會破壞大多數流行殺軟的運行。

一、「機器狗變種53248」（Win32.Troj.DownLoaderT.mr.53248） 威脅級別：★★

此下載器的原始文件進入系統後，釋放出病毒文件ctfmon.exe到系統盤%WINDOWS%/目錄下，另外兩個文件Upack.exe和ctfmon.exe會被釋放到系統盤根目錄下。然後，它判斷當前進程裡是否存在BKPCLIENT.EXE和MENU.EXE（貝殼硬碟保護）2個進程，如不存在，就寫驅動穿還原系統。

然後，病毒把系統桌面進程explorer.exe複製到系統盤根目錄中，命名為tempdat.dat，再將自己的資料寫入原來的explorer.exe中，這樣，它就可以隨著桌面的啟動而自動運行起來。

當成功運行起來，此毒便連接指定的遠程地址，下載一份病毒列表，根據其中的地址，下載更多其它木馬到%WINDOWS%/system32/目錄下運行，下載一個運行一個。這就造成系統資源逐漸被吞噬，電腦運行越來越慢。

毒霸反病毒工程師檢查後發現，它所下載的木馬，大部分是盜號器，可能對用戶的虛擬財產構成威脅。另外，由於ctfmon.exe這個病毒文件與系統的托盤區拼音圖標文件同名，可能會給用戶構成迷惑。

二、「武裝廣告下載器72711」（Win32.vking.cf.72711） 威脅級別：★

該病毒會將自身scvhosL.exe複製到%WINDOWS%/system32/drivers/目錄中，並設置文件屬性為 「系統|隱藏|只讀」，再以 .EXE（文件名為空）為文件名，將自身拷貝到每個盤的根目錄，並寫入一個autorun.inf文件，實現利用AUTO自動傳播。

除自我複製外，它還會搜索並感染系統中的exe文件。如果中毒機器在局域網內，病毒將以administrator空口令刺探其它電腦，利用共享文檔來傳播自身。

另外，為了對抗殺軟，病毒作者準備了一份清單，上面有目前主流的一些殺軟在註冊表啟動項中的值。病毒只要根據它，刪除這些數值，就可以令殺軟癱瘓。

最後，病毒解密自帶的一個.txt文件，讀取裡面的網址，下載惡意程序並執行。根據毒霸反病毒工程師的檢查，它所下載的是一個廣告木馬程序。這個木馬會將用戶的IE瀏覽器自動登錄到一個指定的網頁地址，為它刷流量。

金山反病毒工程師建議

1.最好安裝專業的殺毒軟體進行全面監控，防範日益增多的病毒。用戶在安裝反病毒軟體之後，應將一些主要監控經常打開（如郵件監控、記憶體監控等）、經常進行升級、遇到問題要上報，這樣才能真正保障計算機的安全。

2.由於玩網絡遊戲、利用QQ等即時聊天工具交流的用戶數量逐漸增加，所以各類盜號木馬必將隨之增多，建議用戶一定要養成良好的網絡使用習慣，如不要登錄不良網站、不要進行非法下載等，切斷病毒傳播的途徑，不給病毒以可乘之機。

(