“IE修改者”( Trojan/Win32.StartPage.yhl) 威胁级别:★★
该病毒运行后,衍生病毒文件到%system32%与病毒当前目录下。添加注册表加载项以在重新启动系统后加载病毒体运行。之后会连接某地址下载病毒文件到本机运行。添加计划任务,以便定时运行,造成强行插入IE插件等影响,给用户带来不便。
“修改者木马”(Trojan/Win32.StartPage.ygk[Dropper]) 威胁级别:★★
该病毒为木马类,病毒运行后遍历进程,查找杀软相关进程并关闭;删除桌面上的IE浏览器图标,创建一个执行指定主页的网站,在系统目录下衍生病毒配置文件,修改host文件屏蔽部分网址导航网站并将其导航到指定页面;修改注册表添加启动项,修改ie浏览器的默认主页;连接指定的网站发送本地用户相关的信息。
“木马下载者”(Trojan/Win32.Patched.iv[Downloader]) 威胁级别:★★
该文件被感染式病毒所感染,感染病毒对该文件做了入口点代码修改,当用户打开被感染的文件后,先执行病毒代码,再执行正常文件的代码。执行病毒代码后切换到正常文件代码的过程:先分配临时空间,将病毒代码存放到该缓冲区内,在文件入口偏移10E处调用执行病毒代码,获取模块句柄,打开文件从文件尾部向上偏移938(2036)字节并除去正常文件的代码,然后保存到缓冲区里,将读出来的正常文件数据拷贝到入口点处覆盖掉病毒代码,创建一个线程最后跳到原入口点执行正常文件的代码,所创建的线程是运行病毒主要功能代码。在正常文件执行后,线程同时被激活,线程执行后动态加载多个系统DLL文件,遍历%System32%目录下是否存在arpcss.dll文件,如有则退出线程,如没有则找到该文件并连接网络用于下载病毒文件并将下载的病毒文件保存到临时目录下。
动物家园计算机安全咨询中心反病毒工程师建议:
1、从其他网站下载的软件或者文件,打开前一定要注意检查下是否带有病毒。
2、别轻易打开陌生人邮件及邮件附件、连接等。
3、用户应该及时下载微软公布的最新补丁,来避免病毒利用漏洞袭击用户的电脑。
4、尽量把系统帐号密码设置强壮点,勿用空密码或者过于简单。
5、发现异常情况,请立即更新你的反病毒软件进行全盘查杀或者登陆(安全咨询中心)咨询
