警惕MSN遭遇伪装 浏览器被恶意修改
根据金山病毒播报中心提示,“警戒干扰者139776”(Win32.Troj.Agent.139776)是一个会修改IE浏览器安全设置的木马。它进入系统后,会在后台启动IE浏览器进程,并修改IE浏览器的安全设置,使其它病毒及恶意程序能够轻松地进入用户系统,进行破坏活动。
“刷屏下载器65536”(Win32.TrojDownloader.Small.65536),这是一个下载器,该病毒源文件会伪装成MSN的外观,容易迷惑用户,当用户运行该病毒后,病毒源文件会自删除,使用户无法再找回病毒源。病毒运行后会自行下载病毒文件到系统目录下,自添加病毒启动项,随系统的启动而触发。当用户运行文件时,会出现无法打开的状况,有感染的症状。
一、“警戒干扰者139776”(Win32.Troj.Agent.139776)
威胁级别:★★
病毒顺利进入用户的电脑系统后,将三个病毒文件释放到系统盘的%windows%\system32\目录下,分别为CesMain.exe、CesMain.dll,以及CesMain2.dll。
三个病毒文件均有分工,其中的CesMain.exe是病毒主程序,它的任务是在用户无法察觉的情况下,于后台服务中悄悄启动IE浏览器进程,而两个DLL文件,其中一个负责修改注册表启动项,将病毒主程序的相关信息写入其中,使病毒以后可以在用户每次启动电脑时跟着自动运行起来,另一个则负责注入IE进程,进行破坏活动。
当主程序将IE启动之后,负责破坏活动的DLL文件就会注入IE进程中,修改IE的安全配置数据,将其安全等级降低。这样一来,当用户上网时,其它病毒和恶意程序就很容易进入用户电脑,给系统造成无法估计的破坏。
二、“刷屏下载器65536”(Win32.TrojDownloader.Small.65536)
威胁级别:★★
病毒进入电脑系统后,在系统盘的%windows%\system32\目录下释放出病毒主程序msnmsgr.exe,以及在%window\Downloaded Program Files\目录下释放出病毒文件msgr.dll。由于其名称与外观都与微软MSN通讯软件接近,用户就不易发现它。
然后,病毒修改注册表,添加自己的主程序信息到启动项。这样,当用户在重启机器时,它就会随着系统的启动而触发。当病毒运行起来后,它会破坏系统中已安装的安全软件的相关数据,以及篡改大量的系统参数,如果用户试图查看启动项和使用安全软件时,系统就会突然死机,然后自动刷屏一次。而当病毒的犯罪最为猖獗之时,不仅仅是安全软件,所有的可执行文件、网页文件都会遇到以上麻烦,令用户无法正常工作。
该病毒的行为不仅仅是影响用户使用电脑,如果用户注意查看系统盘临时文件夹的目录,就会发现已有部分病毒文件被下载到其中,名称如gtapi.dll、tt.exe、qq.exe等。原来,病毒之前的破坏行为,都是为它能下载其它病毒到用户系统中所做的铺垫。当这些病毒文件发作之后,用户将遭受无法估计的更大损失。