金山毒霸14日病毒预警

　　　

　　“播放器漏洞下载者4198”(JS.Downloader.aa.4198)，这是一个病毒下载器。它本身是一个RealPlayer的漏洞利用脚本，如果漏洞利用成功，将会从指定的地址下载木马程序执行。

　　“文件夹下载器36864”(Win32.hack.Agent.36864)，这是一个木马下载风险程序。它主要通过网页木马、文件捆绑、移动存储介质方式传播。木马的图标会伪装成Windows默认的可执行文件图标，扩展名为exe，骗过用户的注意或诱惑用户点击。

　　一、“播放器漏洞下载者4198”(JS.Downloader.aa.4198) 威胁级别：★

　　这个病毒下载器是一个脚本病毒。它体积很小，可以利用网页挂马和捆绑与视频文件的方式进行传播。

　　如果这个病毒成功进入用户电脑，那么当用户利用6.0.10.4版本的RealPlayer多媒体播放器播放视频和音乐时，它就会发作，利用RealPlayer播放器的漏洞绕开系统本身的安全模块，并在后台悄悄连接病毒作者指定的远程地址http://61.1*8.38.1*8/images，进行下载活动。

　　另外，经毒霸反病毒工程师分析，此下载器下载的都是针对网络游戏的盗号木马。

　　关于该病毒的详细分析报告，可在金山病毒大百科中查阅 http://vi.duba.net/virus/4198-50603.html

　　二、“文件夹下载器36864”(Win32.hack.Agent.36864) 威胁级别：★

　　病毒将文件Security.exe释放到%WINDOWS%\system32\目录中，并修改文件属性为隐藏、系统。然后查找系统中是否有卡巴斯基的驱动文件klif.sys，如有，则修改系统时间为过去，使得依赖时间进行激活和升级的卡巴失效。

　　当修改注册表启动项中的数据，让病毒文件Security.exe运行起来后，病毒就搜索并关闭“IE 执行保护”与“瑞星卡卡上网安全助手 - IE防漏墙”的安全提示。然后开启系统桌面进程IEXPLORE.EXE，申请内存空间将病毒一部分代码写入，并通过相关函数激活病毒代码进行代码注入，逃避杀毒软件的查杀。

　　最后，病毒访问病毒作者指定的恶意网站下载其它病毒程序并运行。同时，遍历磁盘，在所有的磁盘分区根目录中释放隐藏的AUTO病毒文件和autorun.inf，再以批处理的方式将病毒原文件删除。这样一来，以后只要用户在中毒电脑上使用U盘等移动存储设备，病毒就会将其感染，实现更大规模的传播。

　　需要注意的是，此下载器的图标会伪装成Windows默认的可执行文件图标，扩展名为exe，骗过用户的注意或诱惑用户点击。

　　关于该病毒的详细分析报告，可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-hack-agent-36864-50604.html

　　金山反病毒工程师建议

　　1.最好安装专业的杀毒软件进行全面监控，防范日益增多的病毒。用户在安装反病毒软件之后，应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。

　　2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，及时升级杀毒软件，开启防火墙以及实时监控等功能，切断病毒传播的途径，不给病毒以可乘之机。

　　金山毒霸反病毒应急中心及时进行了病毒库更新，升级毒霸到2008年5月14的病毒库即可查杀以上病毒;如未安装金山毒霸，可以登录http://www.duba.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816，反病毒专家将为您提供帮助。

　　金山毒霸反病毒处理中心

　　金山毒霸信息安全事业部

　　Email: duba_report_news@kingsoft.com

　　http://www.duba.net