5.27毒报:非法扫描仪后门程序

　“非法扫描仪747520”（Win32.Troj.Agent.bw.747520），这是一个黑客后门程序。它运行后会添加自己为多个系统启动项，自动连接病毒作者指定的远程地址接受指定指令，然后在中毒电脑中进行非法扫描。

　　“感染试验65536”（Win32.Vking.te.65536），这是个感染型病毒。当病毒运行起来后，会释放正常文件执行，并删除自身，同时将病毒文件拷贝到各系统分区中，搜寻并感染所有的非系统文件，利用这些文件的复制进行扩散。

　　一、“非法扫描仪747520”（Win32.Troj.Agent.bw.747520） 威胁级别：★★

　　这个病毒是个黑客程序，黑客可以借助它对用户的系统进行非法扫描，并实现对用户电脑的完全控制。它本身的技术含量并不高，但近来传播范围较大，毒霸反病毒工程师检查后发现，这与该毒利用下载器和捆绑其它文件进行传播有较大关系。

　　病毒在进入系统并被激活后，就会复制自己的文件LVScom.exe到系统盘的%WINDOWS%/system32/目录中，然后删除原始文件，防止用户发现系统中出现多余的文件。接着，它就在注册表中添加自己的多个启动项，实现开机自启动。

　　最后，病毒自动连接某病毒作者指定的地址，接受指定的指令后，对中毒电脑进行非法扫描。然后按照指令的不同，执行不同的操作。由于指令可以是多样的，病毒作者（黑客）也就可以对中毒电脑进行任何他想要的操作。

　　二、“感染试验65536”（Win32.Vking.te.65536） 威胁级别：★

　　这个病毒经过一个简单的加壳，以对抗安全软件的查杀。它将自己附加到正常文件上，并改变自身的图标为被感染文件图标，实现伪装。

　　病毒在运行起来后，释放出正常文件，保证该文件可以正常运行，这样用户就不会察觉到系统异常。而实际上，病毒已经复制自身到系统的各磁盘分区中，并写入AUTO文件autorun.inf和病毒EXE文件，以等待用户双击盘符，以便自动运行起来。

　　而如果用户主动复制被感染的文件，或者在中毒电脑上使用U盘等移动存储设备，病毒也会自动运行，利用U盘实现传染。

　　此处需要注意的是，病毒EXE文件名字是空的，如果用户在自己系统盘根目录下发现名字为空的EXE文件，有可能就是此毒。另一个可用于判断是否中了该毒的方法是检查可疑文件的目录下是否有Desktop_.ini文件，这个文件记录得有正常文件被感染的日期，如果在所有的EXE文件目录下都出现此文件，那么说明电脑中了该毒。

　　该病毒的文件名为suchost.exe ，隐藏在%WINDOWS%/drivers/目录下，由于文件名与系统进程svchost.exe接近，这也就具备了一定的伪装能力。毒霸反病毒工程师发现，该毒除了自我传播外，不具有破坏能力，有可能是病毒作者用于练手的作品。

　　金山反病毒工程师建议

　　1.最好安装专业的杀毒软件进行全面监控，防范日益增多的病毒。用户在安装反病毒软件之后，应将一些主要监控经常打开（如邮件监控、内存监控等）、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。

　　2.由于玩网络游戏、利用QQ等即时聊天工具交流的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，如不要登录不良网站、不要进行非法下载等，切断病毒传播的途径，不给病毒以可乘之机。