华军近期电脑病毒播报

　　

　　华军资讯提醒您：最近出现几种新的电脑病毒，危害网民，值得大家高度重视，华军总结了几家病毒软件发布的最新病毒播报，希望大家加强防范，注意安全：

　　金山：

　　一、“木马下载器126976”(Win32.TrojDownloader.Banload.126976) 威胁级别：★

　　病毒一旦进入系统，就会立即在当前目录下运行起来，获取系统盘下的%WINDOWS%\System32\目录地址。判断自己想要下载的病毒文件是否已在其中，如果没有，病毒就连接病毒作者指定的地址，开始下载行为。

　　它从 http://vox**rds.i*.com.br/cartao.asp?c=8410 这个地址下载一份最新的下载列表，然后根据列表中的地址去下载其它病毒文件。为保证下载可以成功，病毒作者给每种病毒都设定了多个不同的下载地址。

　　当下载完成，病毒就修改系统注册表，将这些下载到的病毒的相关数据写入启动项，实现它们的开机自动运行。经毒霸反病毒工程师检查，这些病毒以盗号木马为主，目标是网络游戏和网银。

　　关于该病毒的详细分析报告，可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-trojdownloader-banload-126976-50641.html

　　二、“盗号木马下载器90112”(Win32.TrojDownloader.Small.90112) 威胁级别：★

　　这个木马下载器的运行原理非常简单，大部分安全软件都能够查杀它。但由于借助其它对抗型下载器的帮忙，它近来的传播趋势较为明显。

　　病毒进入系统后，直接复制自己到系统盘的%WINDOWS%目录下，然后修改系统注册表启动项，实现开机自启动。如果成功运行起来，就会连接到http://new.******99.com/ma/这个由病毒作者指定的远程地址，下载其它病毒。

　　被下载的病毒共20个，名称为由0至19的exe可执行文件，其中大部分是网游盗号木马。

　　关于该病毒的详细分析报告，可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-trojdownloader-small-90112-50642.html

　　点击下载金山软件

　　瑞星：

　　“下载器蠕虫变种HA(Worm.Win32.DownLoader. ha)”病毒：警惕程度★★★，蠕虫病毒，通过U盘等传播，依赖系统：Windows NT/2000/XP/2003。

　　病毒运行后会把自己拷贝到System32路径下命名为thundet.exe和dllhos.exe(与迅雷和系统文件名相似)，然后添加注册表项实现自启动，病毒会访问黑客指定的网站下载数十个木马病毒，同时还会感染脚本文件，在脚本文件的最后添加网址使得用户打开网页的同时下载病毒脚本，为了阻止安全类软件查杀该病毒，病毒还会添加注册表项实现映像劫持，导致360安全卫士和McAfee等安全软件无法正常运行，最后病毒会把自己复制到各个磁盘下，添加autorun.inf使得用户打开磁盘的同时运行病毒程序，以感染u盘或其他移动存储设备，使用户容易反复感染，很难彻底清除。

　　点击下载瑞星软件

　　江民：

　　病毒名称：Trojan/PSW.Agent.fql

　　中 文 名：“代理木马”变种fql

　　病毒长度：20480字节

　　病毒类型：木马

　　危险级别：★★

　　影响平台：Win 9X/ME/NT/2000/XP/2003

　　Trojan/PSW.Agent.fql“代理木马”变种fql是“代理木马”木马家族的最新成员之一，采用高级语言编写，并经过加壳保护处理。“代理木马”变种fql运行后，在临时文件夹下释放恶意DLL组件文件“*.tmp”;在“%SystemRoot%\system32\”目录下释放恶意DLL组件文件“HBKrnl.dll”;在“%SystemRoot%\system32\drivers\”目录下释放恶意驱动文件“hbkernel.sys”;在“%SystemRoot%\”目录下创建一个更新信息配置记录文件“Update.dat”。修改注册表，实现木马开机自动运行。在被感染计算机的后台调用系统“rundll32.exe”进程，迫使该进程调用恶意DLL组