病毒进入系统后,在系统盘的%WINDOWS%\system32\目录以及%WINDOWS%\system32\config\systemprofile\Local Settings\Temporary Internet
Files\Content.IE5\目录下生成大量病毒文件夹和病毒文件。然后就修改注册表,把自己的相关数据添加到服务项中,以便以后每次都能在用户启动电脑时跟着自动跑起来。
如果该病毒得以成功运行,就会立即修改当前系统时间为“2005”年,使卡巴斯基等依赖系统时间来激活和更新的安全软件全部失效。与此同时,病毒在各磁盘分区中生成AUTO病毒,分别是auto.exe和autorun.inf辅助文件。如果用户双击有该AUTO病毒的盘符时,即会触发病毒,建议用户使用右键打开藏有AUTO病毒的盘。
此病毒还针对毒霸设计得有感染“隐蔽软件扫描程序”功能的能力,如果用户试图使用该功能,就会弹出众多伪装成毒霸网页的病毒网页,并且显示空白内容。病毒还会禁止用户登录真正的网站,不管用户打开怎样的网页,都会在很短的时间内被强行关闭。
同时,病毒悄悄建立远程连接,下载许多的盗号木马和隐蔽软件。随着弹出窗口和下载病毒的速度越来越快、数量越来越多,系统资源将被严重占用,电脑运行速度会变得奇慢无比。一旦下载的木马和隐蔽软件运行起来,用户系统将受到无法估计的更大破坏。
二、“下载者病毒77824”(Worm.Downloader.cx.77824) 威胁级别:★★
病毒进入电脑系统后,在系统盘的%WINDOWS%\system32\目录下释放出一个病毒文件4366ECF0.EXE,随后,它修改注册表,将该病毒文件的相关数据加入启动项,达到随系统启动而自动运行之目的。
一旦病毒开始运行,它就会立即在用户无法知晓的情况下建立远程连接,从病毒作者指定的远程服务器下载一份名为update.txt的病毒名单,这份名单记录了40多个其它木马的下载地址。然后,病毒按照名单上的下载地址下载这些木马,把它们存放到中毒电脑系统盘的%WINDOWS%\system32\目录、%WINDOWS%\Fonts\目录、%Program Files%\Internet Explorer\PLUGINS\目录,以及%Documents and Settings%\mainzo\Local Settings\Temp\等多个目录下。
这些木马被下载下来后,病毒就会修改注册表,将它们的数据也加入注册表启动项,从而给用户的系统安全、虚拟财产,甚至个人隐私造成更大的威胁。
反病毒工程师建议
1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。