“U盘百家姓”病毒肆意下载恶意程序

新客网 XKER.COM 2007-11-23 来源：zol 收藏本文

   “U盘百家姓”（Win32.Hack.Popwin.ai.18474），这是一个可通过U盘传播的病毒。它会破坏杀毒软件的正常运行，并从指定的网址上下载大量恶意软件在用户计算机上。此病毒最大的特点是一切病毒相关的服务名和文件名都是随机生成的。

    “杀手传声筒”（Win32.Troj.Agent.401408），这是一个远程控制类木马。它能破坏杀毒软件的正常运行，并在本地创建客户端，向远程服务端传送本地计算机的情况，为黑客入侵用户电脑系统提供机会。

    “U盘百家姓”（Win32.Hack.Popwin.ai.18474）威胁级别：★★

    病毒运行后，在%Windows%\system32\目录下释放出一个.EXE格式文件和一个.DLL格式文件。需要注意的是，这两个病毒文件的文件名是病毒根据已内定的某些字符，与用户电脑上的系统盘卷序列号进行计算而随机生成的八位数，因此并不固定。然后，它修改注册表，创建注册启动项，达到随系统自动启动之目的，其中的服务名也是随机生成。病毒还会在每个磁盘分区的根目录下生成病毒文件 auto.exe 和辅助文件 autorun.inf，当用户双击打开磁盘，病毒文件就会再次运行。此后，如果用户在中毒电脑上使用U盘等移动存储器，病毒就会将其传染。

    与此同时，病毒迅速搜索计算机进程，如发现杀毒软件卡巴斯基的进程文件avp.exe，则修改系统时间为2005年。由于卡巴斯基的激活文件需依赖系统时间，此举将导致卡巴斯基失效。病毒还会尝试对金山毒霸下手，它会搜索毒霸的运行窗口，并试图将其关闭。

    当解决掉杀毒软件，病毒就会悄悄连接木马作者指定的网址，通过读取升级文件 update.txt，获取其它病毒及恶意软件的最新下载地址，并把它们下载到用户计算机上运行，给用户造成更大的损失。

    “杀手传声筒”（Win32.Troj.Agent.401408）威胁级别：★★

    病毒运行后，在%Windows%\system32\目录下释放出三个病毒文件，分别为aedl.exe、aedl.dat 以及aedl .jpg（jpg文件的文件名末尾带个空格），需提及的是，由于此病毒的文件名是参考源文件名，因此并不局限于以上名称。

    随后，病毒修改注册表，将自己的相关信息加入其中，以便随系统启动。同时，还修改系统中的数据，隐藏自己的进程服务。这样，用户在查看服务控制台时，就不会发现它。接着，病毒迅速修改系统时间，破坏依赖系统时间的安全软件的正常运行。并查找弹出的卡巴斯基和微点的提示窗口，向窗口发送鼠标点击消息，允许病毒的操作。完成以上步骤后，病毒就注入其它程序，在它们的程序空间内运行。

    运行过程中，病毒会监视本地计算机的键盘和鼠标动作，并创建远程联接，向木马作者（黑客）指定的远程服务端发送这些信息，被同时发送的信息还包括受害计算机的机名、系统版本、用户名等。而且，黑客可以利用远程服务端向受害电脑发送远程指令，进行任何想要的操作，给用户造成无法估计的损失。

    金山反病毒工程师建议

    1.最好安装专业的杀毒软件进行全面监控。建议用户安装反病毒软件防止日益增多的病毒，用户在安装反病毒软件之后，应该经常进行升级、将一些主要监控经常打开（如邮件监控、内存监控等），遇到问题要上报，这样才能真正保障计算机的安全。

    2.玩网络游戏、利用QQ聊天的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，及时升级杀毒软件，开启防火墙以及实时监控等功能，切断病毒传播的途径，不给病毒以可乘之机。

上一篇：梦幻西游盗号木马下载病毒并盗号下一篇：海量下载器下载海量病毒多重破坏

【收藏】【评论】【推荐】【投稿】【打印】【关闭】

“U盘百家姓”病毒 肆意下载恶意程序

“U盘百家姓”病毒肆意下载恶意程序