“下载者VBS13056”(DOS.Downloader.s.13056),它是一个下载者脚本病毒,会修改系统时间,使部分安全软件失效,然后从指定的网址下载并执行盗号木马程序。它还具有自动更新的功能。
“色情终结者”(VBS.DNAOrder.aa.35780),这是一个感染脚本和网页文件的病毒。它运行时会关闭任务管理器、注册表编辑器、瑞士军刀注册表修复工具、360安全卫士等系统进程和安全软件,将自己扩散到所有磁盘中,感染全部的正常VBS脚本文件,还会删除名称与色情有关的avi, mpg, rm, rmvb格式的视频文件。
一、“下载者VBS13056”(DOS.Downloader.s.13056) 威胁级别:★★
病毒运行后,会把自身`.vbe复制到%windir%\目录和%windir%\system32\目录下,然后修改注册表,实现自启动。接着,遍历网络硬盘和可移动硬盘(除 a:\ 和 b:\),在各盘根目录下生成 `.vbs和病毒配置文件autorun.inf,扩大传染范围。
如果盘根目录下已经存在 `.vbs 和 autorun.inf,病毒便读取其数据,判断是否属自己的病毒文件,如不同,就将其改写为自己的文件。然后,通过检测万象进程的方法判断目前所在的电脑是否为网吧设备,如果不是,就会执行升级过程,下载 temp.txt 文件,从中获取盗号木马的最新下载地址。盗号的对象有《魔兽世界》、《热血江湖》、《功夫》、《问道》大型网络游戏等游戏,造成用户网络财产的损失。
此外,这个病毒具有一定的反杀软功能,它将系统时间修改为2002年,使部分安全软件的注册更新失效,无法正常工作,大大降低了用户系统安全性。
二、“色情终结者”(VBS.DNAOrder.aa.35780) 威胁级别:★★
此病毒通过U盘等储存器和网络传播。病毒运行后,在 %SystemRoot%\ 目录和 %SystemRoot%\System32\ 目录下生成以当前用户名命名的vbs脚本文件和ini文件,还会在各磁盘根目录下生成同样的vbs脚本文件和,autorun.inf文件。这些vbs文件都是病毒的复制品,病毒将其设置为当用户双击打开盘符或点右键选择资源管理器时运行。同时病毒将自己设置为txt, hlp, chm, reg等类型文件的关联程序,当用户双击打开这些类型的文件时,都会执行病毒程序。
病毒还会修改注册表,实现随系统自启动。并将隐藏文件和受保护的操作系统文件锁定为无法显示。这样一来,用户便无法发现它。而为了对付安全软件,病毒运行后会搜索是否有打开的任务管理器、注册表编辑器、msconfig启动组清理、命令行提示符、瑞士军刀注册表修复工具、360安全卫士,如果有,就将它们强行关闭。
随后,病毒开始感染用户电脑上的所有正常的vbs脚本文件,以及以hta, htm, html, asp为扩展名的网页文件。有时会弹出消息框, 内容为“您已有超过2000个文件被感染!不过请放心,此病毒很容易被清除!请联系418465***-_- !”。
值得关注的是,在该发作过程中,此病毒会搜索各磁盘里的avi, mpg, rm, rmvb格式视频文件,如发现其文件名与色情有关,便会将它们删除。
金山反病毒工程师建议
1.最好安装专业的杀毒软件进行全面监控。建议用户安装反病毒软件防止日益增多的病毒,用户在安装反病毒软件之后,应该经常进行升级、将一些主要监控经常打开(如邮件监控、内存监控等),遇到问题要上报, 这样才能真正保障计算机的安全。
2.玩网络游戏、利用QQ聊天的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。
