“机器狗”出现变种 广大用户小心!
07月 31st, 2008 -
金山毒霸下载
病毒介绍:
病毒名称:Win32.Troj.Agent.ie.302080
病毒别名:机器狗变种53248
威胁级别:★☆☆☆☆
病毒类型:木马
病毒长度:302456字节
影响系统:Win9x WinMe WinNT Win2000 WinXP WinVista
曾经祸害一时的机器狗出现变种,广大计算机用户要小心了!“机器狗变种53248”(Win32.Troj.DownLoaderT.mr.53248),这是一个机器狗下载器的变种。它能够穿透系统还原,下载大量的木马。为迷惑用户,它会给自己的进程采用系统托盘区拼音输入法的图标。
此下载器的原始文件进入系统后,释放出病毒文件ctfmon.exe到系统盘%WINDOWS%\目录下,另外两个文件Upack.exe和ctfmon.exe会被释放到系统盘根目录下。然后,它判断当前进程里是否存在BKPCLIENT.EXE和MENU.EXE(贝壳磁盘保护)2个进程,如不存在,就写驱动穿还原系统。
然后,病毒把系统桌面进程explorer.exe复制到系统盘根目录中,命名为tempdat.dat,再将自己的数据写入原来的explorer.exe中,这样,它就可以随着桌面的启动而自动运行起来。
当成功运行起来,此毒便连接指定的远程地址,下载一份病毒列表,根据其中的地址,下载更多其它木马到%WINDOWS%\system32\目录下运行,下载一个运行一个。这就造成系统资源逐渐被吞噬,电脑运行越来越慢。
毒霸反病毒工程师检查后发现,它所下载的木马,大部分是盗号器,可能对用户的虚拟财产构成威胁。另外,由于ctfmon.exe这个病毒文件与系统的托盘区拼音图标文件同名,可能会给用户构成迷惑。