|
“李鬼卫士”(Win32.Troj.StartPage.251392),这是一个用VB编写的木马程序变种。病毒伪装成安全辅助软件“360安全卫士”的相关文件,骗取用户点击。它成功运行后,会修改IE浏览器的默认首页、增加IE浏览器扩展按钮,还会将用户的网卡物理地址、计算机名称等信息发送至远程服务器。
“圆环套圆环捆绑机”(Win32.o0Bind.b.23040),这是一个捆绑机病毒,黑客利用它把正常的程序和其它病毒打成一个包,如果用户认为该程序正常并运行该程序,捆绑着的病毒就会被激活,从而给用户的机器造成破坏。捆绑机病毒通常见于一些从小型下载网站、远程控制、游戏外挂网站下载的程序。
一、“李鬼卫士”(Win32.Troj.StartPage.251392)威胁级别:★
病毒进入电脑系统后,在系统盘的%WINDOWS%system32目录下释放出6个病毒文件,分别是360Safe.exe、360Server.exe、AllRight.exe、MSINET.OCX、NTVBSvcW.tlb,以及SoftIcon.ico。仔细看看它们的文件名和那个.ico图标文件,会发现该病毒是想把自己伪装成安全辅助软件“360安全卫士”的程序。
随后,病毒修改系统注册表启动项,把自己的相关信息加入其中,这样它以后便能随系统启动而自动运行。而为了伪装和隐藏得更好,它会把自己注册为360的相关文件,如果用户检查其属性,可以发现它连文件版本、产品名称、公司名称全和360一模一样。
当在用户的电脑系统中站稳了脚跟,病毒就要开始搞破坏了。它修改IE浏览器的默认首页,将其锁定为一家上网导航网站hxxp://www.0**7*8.com,并且自动弹出该网站的IE窗口,十分烦人。它还会在IE上增加一个指向该导航网站的扩展功能按钮,诱使用户点击,为该网站“贡献”流量。
除此而外,病毒还会尝试统计中毒计算机的机器信息,如网卡物理地址、计算机名等,收集齐后发送至这家网站的远程服务器,造成用户个人网络隐私的泄露。如果网站管理者得到这些资料,可能会将它们用于商业用途。
二、“圆环套圆环捆绑机”(Win32.o0Bind.b.23040)威胁级别:★
该病毒的作用是将别的病毒与正常程序捆绑在一起,以便使其它病毒能跟正常文件一起被下载到用户电脑上。由于只是个捆绑机,它进入到用户系统之后,并不会主动运行起来,也不会造成什么破坏和威胁。
但是,如果用户点击开启正常程序,此捆绑机就会立刻将正常文件和捆绑的病毒释放到系统盘的%Documents and Settings%用户名Local SettingsTemp目录下,并同时运行这两个程序。由于病毒通常是没有界面的,而正常程序又能正常运行,所以用户不容易发现自己的电脑已经中毒。
不过,若用户使用可显示进程路径的任务管理器查看,会发现启动的正常程序的路径被指向至上面提到的temp目录,而不是用户放置该程序的目录。如果出现这个情况,就极有可能是中了捆绑机的招。建议用户少到小型网站下载程序,在远程控制、游戏外挂等站点下载程序时,也应分外小心,最好使用安全软件对下载的文件进行扫描,以避免病毒在捆绑机的帮助下混入电脑。
| 
