計(jì)算機(jī)軟考網(wǎng)絡(luò)管理：警惕廣告下載器偽裝成圖片下載更多病毒

金山7月15日病毒播報(bào):“腳本下載器2927”（JS.Downloader.ax.2927），這是一個(gè)腳本病毒。它的實(shí)質(zhì)是一個(gè)遠(yuǎn)程木馬程序，該毒會(huì)在電腦中實(shí)現(xiàn)自動(dòng)運(yùn)行，然后連接指定的遠(yuǎn)程地址。
    “廣告下載器184320”（Win32.Adware.BhoT.ae.184320），這是一個(gè)廣告程序。它會(huì)修改注冊(cè)表，實(shí)現(xiàn)開機(jī)自啟動(dòng)。然后下載大量木馬程序。它的部分變種會(huì)修改IE瀏覽器的數(shù)據(jù)，讓IE瀏覽器指向病毒作者指定的廣告網(wǎng)站，并頻繁彈出廣告窗口。
    一、“腳本下載器2927”（JS.Downloader.ax.2927） 威脅級(jí)別：★
    病毒進(jìn)入用戶電腦，在%WINDOWS%\SYSTEM32\目錄下釋放出病毒文件sysrunchesever1.exe和syskaka1.dll，以及系統(tǒng)盤根目錄下的tempsysche.exe。其中，sysrunchesever1.exe是病毒主文件，病毒會(huì)將它寫入注冊(cè)表啟動(dòng)項(xiàng)，讓自己能夠?qū)崿F(xiàn)開機(jī)自啟動(dòng)。
    一旦用戶重啟電腦，病毒就能夠運(yùn)行起來。它會(huì)注入到系統(tǒng)桌面進(jìn)程中，在后臺(tái)悄悄連接病毒作者指定的遠(yuǎn)程地址，發(fā)送用戶系統(tǒng)的信息，如IP、操作系統(tǒng)版本等，然后，就等待病毒作者（黑客）連接。在等待的期間，它也會(huì)下載一些病毒文件。
    此外，此病毒具有防止重復(fù)運(yùn)行的功能。每當(dāng)它進(jìn)入一臺(tái)電腦，都會(huì)創(chuàng)建了一個(gè)互斥體 FirstName ，防止自己的其它副本到這臺(tái)電腦中重復(fù)運(yùn)行。
    二、“廣告下載器184320”（Win32.Adware.BhoT.ae.184320） 威脅級(jí)別：★
    這個(gè)廣告木馬近來出現(xiàn)較多變種，已安裝毒霸的電腦用戶可不必?fù)?dān)心，對(duì)于沒有安裝毒霸的用戶，則需要注意。
    此毒進(jìn)入電腦后，在系統(tǒng)盤的%WINDOWS%\TEMP\臨時(shí)目錄下釋放出自己的文件soa0999.tmp，還有一個(gè)文件jkhxaklo.dll則被釋放到%WINDOWS%\SYSTEM32\目錄下。
    病毒修改注冊(cè)表，把jkhxaklo.dll添加到啟動(dòng)項(xiàng)，實(shí)現(xiàn)開機(jī)自啟動(dòng)。由此，可知道此文件是病毒的主程序。習(xí)慣手動(dòng)查殺的用戶，可利用金山清理專家中的粉碎機(jī)將此文件徹底粉碎。
    一旦的到成功運(yùn)行，病毒就會(huì)連接http://51***9.cn這個(gè)由病毒作者指定的地址，下載一份病毒列表，然后根據(jù)其中的地址去下載更多別的病毒。需要注意的是，病毒會(huì)將這份病毒列表偽裝成一個(gè)名為way.jpg的圖片文件，藏在%WINDOWS%\Cursors\目錄中。
    此毒的部分變種，在下載病毒的同時(shí)，還會(huì)根據(jù)病毒作者設(shè)置的升級(jí)功能，獲取一些廣告網(wǎng)站的地址，隨機(jī)彈出，誘導(dǎo)用戶點(diǎn)擊，讓人感到心煩。
    金山反病毒工程師建議
    1.安裝專業(yè)的殺毒軟件進(jìn)行全面監(jiān)控，防范日益增多的病毒。用戶在安裝反病毒軟件之后，應(yīng)將一些主要監(jiān)控經(jīng)常打開（如郵件監(jiān)控、內(nèi)存監(jiān)控等）、經(jīng)常進(jìn)行升級(jí)、遇到問題要上報(bào)，這樣才能真正保障計(jì)算機(jī)的安全。
    2.由于玩網(wǎng)絡(luò)游戲、利用QQ等即時(shí)聊天工具交流的用戶數(shù)量逐漸增加，所以各類盜號(hào)木馬必將隨之增多，建議用戶一定要養(yǎng)成良好的網(wǎng)絡(luò)使用習(xí)慣，如不要登錄不良網(wǎng)站、不要進(jìn)行非法下載等，切斷病毒傳播的途徑，不給病毒以可乘之機(jī)。