6月30日,金山毒霸全球反病毒监测中心发布周(6.30-7.6)病毒预警,本周需高度警惕对抗型木马“碎骨魔”偷袭。据了解,对抗杀毒软件已成木马必备的一项“技能”,以“碎骨魔”为例,该木马不但会破坏系统安全模式、阻挠用户对其进行查杀外;在运行后期,还会搜索并破坏除系统盘目录以外的全部exe文件,且破坏后很难修复,给受害用户带来无法估计的损失。
金山毒霸反病毒专家李铁军表示,“碎骨魔”木马早在去年就已出现,并被金山毒霸列入黑名单。但近来它的变种又活跃起来,且这些变种具有较强的破坏能力。更值得关注的是,该木马还会破坏除了系统盘目录以外的exe文件,破坏后无法修复。
李铁军分析指出,病毒进入用户系统后,在%WINDOWS%\system32\下释放出三个随机命名的.cpx格式文件,随后便修改注册表,将释放出的文件添加到启动项中,使自己实现开机自启动。同时,它破坏注册表中关于系统安全模式的数据,让用户即便发现系统异常也无法进入安全模式执行手动杀毒。当病毒顺利运行起来,它就篡改被感染计算机上的系统时间,致使一些依靠系统时间进行激活和升级的安全软件失效。并且它在被感染的计算机上搜索全部与安全相关的软件,一旦发现便强行将其关闭。由于其黑名单中包含了大部分常见的安全相关软件,用户电脑的安全性将大大降低。
据了解,本周内广大电脑用户除了需要警惕“碎骨魔”(Win32.VirInstaller.Agent.80896)之外,还需要特别警惕“木马攻击模块4608”(Win32.Troj.AgentT.ff.4608)与“江湖医生45056”(Win32.TrojDownloader.Zlob.45056)两大病毒。前者是日渐流行的对抗型下载器,用于对抗具有主动防御功能的杀毒软件和一些安全工具。它能通过还原SSDT表的方式,使得一些杀毒软件的主动防御功能失效,并解除部分安全工具对系统的保护,用户电脑随时处于危险中;后者是一个广告软件。该病毒运行后会在IE浏览器中擅自添加搜索插件,还会挟持IE的页面指向病毒作者指定的广告网站,强迫用户浏览,属于典型的流氓行为。
