金山毒霸5日预警：小心“套娃下载器”等病毒

　　金山毒霸7月5日病毒预警：今日小心“套娃下载器9032”和“野狗下载器40960”病毒。

　　“套娃下载器9032”(PE.WYCao.a.9032)，这是一个由汇编语言编写的感染型病毒。它能通过感染EXE文件和利用AUTO技术的方式传播。当进入用户系统，就会释放出下载器程序，建立下载行为，并感染更多正常文件。

　　“野狗下载器40960”(Win32.Hack.PcClient.40960)，这是一个类似于机器狗的木马下载器。它会尝试用修改系统时间、解除主动防御、结束进程等方式，破坏多款安全软件的正常运行，然后下载大量的木马程序。

　　一、“套娃下载器9032”(PE.WYCao.a.9032) 威胁级别：★

　　这个病毒由于同时采取感染和AUTO两种方式，传播的速度较快。在进入了用户电脑、并且被激活后，它就搜寻电脑中的正常exe文件，将自己附加到它们的前面，实现感染。并且像套娃一样，释放出另一个病毒文件windows.ext。

　　严格的说，这个病毒只是一个纯粹的感染工具。它真正的实现下载行为，是依靠由它释放出的Windows.ext这个文件，这个文件才是下载器程序。Windows.ext的真实身份是Win32.Troj.Autorun.978944下载器。它被释放出来后，就在全部的磁盘分区中建立AUTO文件，以提高整个病毒的传播效率。

　　同时，Windows.ext会在后台悄悄连接远程地址，下载其它病毒文件执行。经毒霸反病毒工程师检查，它所下载的是一些盗号木马，如果顺利进入用户电脑，可能会给用户的虚拟财产造成损失。

　　关于该病毒的详细分析报告，可在金山病毒大百科中查阅 http://vi.duba.net/virus/pe-wycao-9032-50784.html

　　二、“野狗下载器40960”(Win32.Hack.PcClient.40960) 威胁级别：★★

　　机器狗病毒的新变种已经很久没有在我们的视线中出现。但很多与它类似的木马下载器依旧不断冒头。此篇播报中的就是这样一个病毒。它同样拥有大量的变种。

　　病毒在进入用户电脑后，会马上获取当前进程，把进程权限提升为管理员权限，获取原始的SSDT服务函数，将SSDT表恢复，从而让一些杀毒软件的主动防御功能失效。同时，它修改系统时间为2000年，让卡巴斯基等依赖系统时间进行升级和激活的杀毒软件失效。

　　另外它还尝试搜索并关闭杀毒软件金山毒霸、瑞星，以及安全辅助软件360的进程。

　　当完成以上步骤，病毒便释放出自己的代码，注入系统桌面explorer.exe，悄悄在后台启动IE浏览器的进程，连接http:/ /w**a.xst2.cn这个由病毒作者指定的远程地址，下载一份病毒列表，再根据列表中的地址下载数量惊人的网游、网银盗号木马。

　　关于该病毒的详细分析报告，可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-hack-pcclient-40960-50785.html

　　金山反病毒工程师建议

　　1.最好安装专业的杀毒软件进行全面监控，防范日益增多的病毒。用户在安装反病毒软件之后，应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。

　　2.由于玩网络游戏、利用QQ等即时聊天工具交流的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，如不要登录不良网站、不要进行非法下载等，切断病毒传播的途径，不给病毒以可乘之机。

　　金山毒霸反病毒应急中心及时进行了病毒库更新，升级毒霸到2008年7月5的病毒库即可查杀以上病毒;如未安装金山毒霸，可以登录http://www.duba.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816，反病毒专家将为您提供帮助。