7.4毒报:劫持者下载器破坏杀毒软件

　　“PE木马下载器102400”（PE.ExplorerDL.c.102400），该毒是一个采用高级语言编写的下载器程序。它会感染系统桌面文件Explorer，使自己可以在开机时跟着运行起来。然后下载其它木马。

　　“劫持者下载器397312”（win32.Troj.WeHit.397312），这是一个木马下载器程序。运行后会就破坏一些常见杀毒软件的正常运行，然后到指定地址下载其它木马等。它还会修改IE浏览器的默认页面。

　　一、“PE木马下载器102400”（PE.ExplorerDL.c.102400） 威胁级别：★

　　这个下载器利用感染其它文件或人工发送的方式传播。当它进入用户电脑、且被激活后，就会立即搜索系统桌面文件explorer.exe，将其感染。当电脑再次启动时，病毒就会随着explorer.exe的启动被激活，它释放正常文件执行，并紧跟着执行自己的文件。

　　病毒中设置得有定时器，它每隔一段时间就检查自身附带的网址http://i***e0***.com/p是否可以连接。如果网络连通，病毒就下载一份列表文件，在根据列表中的地址去下载更多其它病毒文件并执行。经毒霸反病毒工程师检查，这些病毒都是各类网游、网银盗窃木马。如果进入系统运行，将可能给用户造成财产损失。

　　当运行结束，病毒便生成bat文件，利用它删除自身，销毁作案证据。

　　二、“劫持者下载器397312”（win32.Troj.WeHit.397312） 威胁级别：★★

　　最近具有对抗杀毒软件能力的木马下载器又开始出现增多迹象。本篇预警播报中的病毒就是一个对抗型下载器。它和它的若干变种频繁出现于网络中。

　　病毒进入电脑后，释放文件ccwlae080420.exe、ccwld32_080420.dll、ccwld16_080420.dll到%WINDOWS%/system32/目录中。如释放成功，则在文件%WINDOWS%目录下生成一个ccwl16.ini文件，并在其中记录相关信息。

　　病毒利用映像劫持技术，修改注册表，使目前市面上常见的多款杀毒软件瘫痪，并加载之前释放出的dll文件，修改IE浏览器的默认首页，使得用户在启动IE时，会被引导到病毒作者指定的网站。同时，病毒建立远程连接，下载大量的盗号木马。

　　该毒以及它所下载的木马，都会被毒霸完全清楚，已安装毒霸的用户可以放心。

　　金山反病毒工程师建议

　　1.最好安装专业的杀毒软件进行全面监控，防范日益增多的病毒。用户在安装反病毒软件之后，应将一些主要监控经常打开（如邮件监控、内存监控等）、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。

　　2.由于玩网络游戏、利用QQ等即时聊天工具交流的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，如不要登录不良网站、不要进行非法下载等，切断病毒传播的途径，不给病毒以可乘之机。