金山毒霸5日預警：小心「套娃下載器」等病毒

　　金山毒霸7月5日病毒預警：今日小心「套娃下載器9032」和「野狗下載器40960」病毒。

　　「套娃下載器9032」(PE.WYCao.a.9032)，這是一個由彙編語言編寫的感染型病毒。它能通過感染EXE文件和利用AUTO技術的方式傳播。當進入用戶系統，就會釋放出下載器程序，建立下載行為，並感染更多正常文件。

　　「野狗下載器40960」(Win32.Hack.PcClient.40960)，這是一個類似於機器狗的木馬下載器。它會嘗試用修改系統時間、解除主動防禦、結束進程等方式，破壞多款安全軟體的正常運行，然後下載大量的木馬程序。

　　一、「套娃下載器9032」(PE.WYCao.a.9032) 威脅級別：★

　　這個病毒由於同時採取感染和AUTO兩種方式，傳播的速度較快。在進入了用戶電腦、並且被激活后，它就搜尋電腦中的正常exe文件，將自己附加到它們的前面，實現感染。並且像套娃一樣，釋放出另一個病毒文件windows.ext。

　　嚴格的說，這個病毒只是一個純粹的感染工具。它真正的實現下載行為，是依靠由它釋放出的Windows.ext這個文件，這個文件才是下載器程序。Windows.ext的真實身份是Win32.Troj.Autorun.978944下載器。它被釋放出來后，就在全部的磁碟分區中建立AUTO文件，以提高整個病毒的傳播效率。

　　同時，Windows.ext會在後台悄悄連接遠程地址，下載其它病毒文件執行。經毒霸反病毒工程師檢查，它所下載的是一些盜號木馬，如果順利進入用戶電腦，可能會給用戶的虛擬財產造成損失。

　　關於該病毒的詳細分析報告，可在金山病毒大百科中查閱 http://vi.duba.net/virus/pe-wycao-9032-50784.html

　　二、「野狗下載器40960」(Win32.Hack.PcClient.40960) 威脅級別：★★

　　機器狗病毒的新變種已經很久沒有在我們的視線中出現。但很多與它類似的木馬下載器依舊不斷冒頭。此篇播報中的就是這樣一個病毒。它同樣擁有大量的變種。

　　病毒在進入用戶電腦後，會馬上獲取當前進程，把進程許可權提升為管理員許可權，獲取原始的SSDT服務函數，將SSDT表恢復，從而讓一些殺毒軟體的主動防禦功能失效。同時，它修改系統時間為2000年，讓卡巴斯基等依賴系統時間進行升級和激活的殺毒軟體失效。

　　另外它還嘗試搜索並關閉殺毒軟體金山毒霸、瑞星，以及安全輔助軟體360的進程。

　　當完成以上步驟，病毒便釋放出自己的代碼，注入系統桌面explorer.exe，悄悄在後台啟動IE瀏覽器的進程，連接http:/ /w**a.xst2.cn這個由病毒作者指定的遠程地址，下載一份病毒列表，再根據列表中的地址下載數量驚人的網游、網銀盜號木馬。

　　關於該病毒的詳細分析報告，可在金山病毒大百科中查閱 http://vi.duba.net/virus/win32-hack-pcclient-40960-50785.html

　　金山反病毒工程師建議

　　1.最好安裝專業的殺毒軟體進行全面監控，防範日益增多的病毒。用戶在安裝反病毒軟體之後，應將一些主要監控經常打開(如郵件監控、內存監控等)、經常進行升級、遇到問題要上報，這樣才能真正保障計算機的安全。

　　2.由於玩網路遊戲、利用QQ等即時聊天工具交流的用戶數量逐漸增加，所以各類盜號木馬必將隨之增多，建議用戶一定要養成良好的網路使用習慣，如不要登錄不良網站、不要進行非法下載等，切斷病毒傳播的途徑，不給病毒以可乘之機。

　　金山毒霸反病毒應急中心及時進行了病毒庫更新，升級毒霸到2008年7月5的病毒庫即可查殺以上病毒;如未安裝金山毒霸，可以登錄http://www.duba.net免費下載最新版金山毒霸2008或使用金山毒霸在線殺毒來防止病毒入侵。撥打金山毒霸反病毒急救電話010—82331816，反病毒專家將為您提供幫助。