搜狐网站
搜狐 ChinaRen 17173 焦点房地产 搜狗
搜狐IT-搜狐网站
IT频道 > 业界 > 业界动态

病毒预警:警惕MSN伪装 IE浏览器被恶意修改

  eNet硅谷动力消息“警戒干扰者139776”(Win32.Troj.Agent.139776),这是一个会修改IE浏览器安全设置的木马。它进入系统后,会在后台启动IE浏览器进程,并修改IE浏览器的安全设置,使其它病毒及恶意程序能够轻松地进入用户系统,进行破坏活动。


  “刷屏下载器65536”(Win32.TrojDownloader.Small65536),这是一个下载器,该病毒源文件会伪装成MSN的外观,容易迷惑用户,当用户运行该病毒后,病毒源文件会自删除,使用户无法再找回病毒源。病毒运行后会自行下载病毒文件到系统目录下,自添加病毒启动项,随系统的启动而触发。当用户运行文件时,会出现无法打开的状况,有感染的症状。

  一、“警戒干扰者139776”(Win32.Troj.Agent.139776) 威胁级别:

  病毒顺利进入用户的电脑系统后,将三个病毒文件释放到系统盘的%windows%\system32\目录下,分别为CesMain.exe、CesMain.dll,以及CesMain2.dll。

  三个病毒文件均有分工,其中的CesMain.exe是病毒主程序,它的任务是在用户无法察觉的情况下,于后台服务中悄悄启动IE浏览器进程,而两个DLL文件,其中一个负责修改注册表启动项,将病毒主程序的相关信息写入其中,使病毒以后可以在用户每次启动电脑时跟着自动运行起来,另一个则负责注入IE进程,进行破坏活动。

  当主程序将IE启动之后,负责破坏活动的DLL文件就会注入IE进程中,修改IE的安全配置数据,将其安全等级降低。这样一来,当用户上网时,其它病毒和恶意程序就很容易进入用户电脑,给系统造成无法估计的破坏。

  二、“刷屏下载器65536”(Win32.TrojDownloader.Small.65536) 威胁级别:

  病毒进入电脑系统后,在系统盘的%windows%\system32\目录下释放出病毒主程序msnmsgr.exe,以及在%windows%\DownloadedProgramFiles\目录下释放出病毒文件msgr.dll。由于其名称与外观都与微软MSN通讯软件接近,用户就不易发现它。

  然后,病毒修改注册表,添加自己的主程序信息到启动项。这样,当用户在重启机器时,它就会随着系统的启动而触发。当病毒运行起来后,它会破坏系统中已安装的安全软件的相关数据,以及篡改大量的系统参数,如果用户试图查看启动项和使用安全软件时,系统就会突然死机,然后自动刷屏一次。而当病毒的犯罪最为猖獗之时,不仅仅是安全软件,所有的可执行文件、网页文件都会遇到以上麻烦,令用户无法正常工作。

  该病毒的行为不仅仅是影响用户使用电脑,如果用户注意查看系统盘临时文件夹的目录,就会发现已有部分病毒文件被下载到其中,名称如gtapi.dll、tt.exe、qq.exe等。原来,病毒之前的破坏行为,都是为它能下载其它病毒到用户系统中所做的铺垫。当这些病毒文件发作之后,用户将遭受无法估计的更大损失。
(责任编辑:水涨船高)
用户:  匿名  隐藏地址  设为辩论话题

*搜狗拼音输入法,中文处理专家>>

我要发布Sogou推广服务

新闻 网页 博客 音乐 图片 说吧  
央视质疑29岁市长 邓玉娇失踪 朝鲜军事演习 日本兵赎罪
石首网站被黑 篡改温总讲话 夏日减肥秘方 日本瘦脸法
宋美龄牛奶洗澡 中共卧底结局 慈禧不快乐 侵略中国报告



说 吧更多>>

说 吧 排 行

搜狐分类 | 商机在线
医 疗 健 康 保 健

茶 余 饭 后更多>>