6.17毒报:伪装暴力下载器下载木马

　　“伪装暴力下载器66048”（Win32.TrojDownloader.FraudLoad.66048），这是一个黑客木马程序。该木马会降低系统安全设置，关闭防火墙，使得黑客可以很容易地入侵用户的计算机。它还会窃取用户系统中的密码和个人数据，并下载其它木马。

　　“盗号虫34304”（Worm.Agent.ez.34304），这是一个蠕虫盗号者。它会在磁盘中释放出文件、创建自己的系统服务，然后记录用户输入的数据。

　　一、“伪装暴力下载器66048”（Win32.TrojDownloader.FraudLoad.66048） 威胁级别：★★

　　这个木马程序所释放出来的文件非常多，难以一一列举，主要集中在系统盘%WINDOWS%目录和%WINDOWS%/system32/目录中。其中，%WINDOWS%目录下的braviax.exe是病毒主文件，它会被写入系统注册表，帮助病毒实现开机自启动。

　　当病毒运行起来，它首先会设置IE浏览器在开机后自动弹出“http://www.google.com/ie”这一网址的窗口。这是谷歌的搜索窗口，进行这一操作，是病毒使的障眼法，它试图让用户以为自己中的是谷歌的广告木马，把时间耗费在搜索解决方案上。

　　当用户去搜索解决方案时，病毒已经注入到所有的进程中，实现隐蔽运行。而由于注入全部的进程，这就保护了病毒体不被删除。同时，它搜索并破坏目前市面上较为流行的防火墙产品，让黑客可以很容易地入侵用户电脑。同时，它搜索中毒电脑中那些看上去像是帐号和密码的信息，连同计算机名称、IP地址等信息一并发送给病毒作者。

　　在运行的尾声，此病毒连接到病毒作者指定的远程地址http://www.so****shier.com/me***ers/link，下载更多其它病毒到中毒电脑上运行，引发更多无法估计的破坏。而随着这些病毒的运行，用户系统资源会被大量占用，电脑运行速度变得越来越慢，甚至死机。

　　二、“盗号虫34304”（Worm.Agent.ez.34304） 威胁级别：★

　　这个蠕虫病毒是一个盗号木马，它利用感染和捆绑其它正常文件的办法进入用户电脑。然后执行破坏行为。

　　病毒会在系统中释放出两个病毒文件，分别为%WINDOWS%/System32/目录下的WinNt32.dll和%WINDOWS%/System32/drivers/目录下的Aaa00.sys。

　　其中，Aaa00.sys是病毒主文件，它会被写入系统注册表，使得病毒实现开机自动运行。为迷惑用户，该毒在设置启动项时，是伪装成“ImagePath”（图像路径）的进程。

　　如果能跑起来，病毒就展开记录工作，它会记下用户通过键盘输入的各种看上去像网游帐号和密码数据，然后发送给病毒作者指定的地址。

　　金山反病毒工程师建议

　　1.最好安装专业的杀毒软件进行全面监控，防范日益增多的病毒。用户在安装反病毒软件之后，应将一些主要监控经常打开（如邮件监控、内存监控等）、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。

　　2.由于玩网络游戏、利用QQ等即时聊天工具交流的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，如不要登录不良网站、不要进行非法下载等，切断病毒传播的途径，不给病毒以可乘之机。