【賽門鐵克】諾頓病毒週報
Trojan.Downexec家族的最新變種會將自己拷貝到Temp目錄下並重新命名為explorer.exe,和平常常用的檔案總管名稱完全一樣。偽裝為explorer檔的病毒啟動後,會釋放惡意文件pcidump.sys,並啟動一個執行檔用來監控Windows檔案保護視窗,一旦找到就將其關閉,使用戶無法通過這種途徑將系統檔案還原。病毒還會修改Hosts檔以阻止電腦對某些網站的訪問。
諾頓病毒週報 2009年6月2日(作者:賽門鐵克中國安全回應中心)
病毒名稱:Trojan.Downexec
病毒類型:木馬
受影響的作業系統:Windows 95/98/2000/Me/XP/Vista/NT, Windows Server 2003
病毒分析:
Trojan.Downexec家族的最新變種會將自己拷貝到Temp目錄下並重新命名為explorer.exe,和平常常用的檔案總管名稱完全一樣。偽裝為explorer檔的病毒啟動後,會釋放惡意文件pcidump.sys,並啟動一個執行檔用來監控Windows檔案保護視窗,一旦找到就將其關閉,使用戶無法通過這種途徑將系統檔案還原。病毒還會修改Hosts檔以阻止電腦對某些網站的訪問。
另外,病毒會感染硬碟上滿足過濾條件的.html和.exe檔,感染後的檔在運行時都會下載並執行惡意程式碼。被感染的.exe檔會變大,增加的內容就是執行下載功能的惡意程式碼,賽門鐵克安全回應中心已將被此類被感染的文件命名為Trojan.Downexec.D!inf。
該病毒變種通過將自身拷貝到存放裝置的每個分區並寫入對應的autorun.inf檔的方式傳播。此外,為了躲避防毒軟體的掃描,它還會週期性的去嘗試下載最新的病毒版本。
諾頓安全專家建議:
使用正版防毒軟體,並時常更新病毒定義檔,以有效保護電腦免受變化多端的病毒攻擊。
關閉作業系統的「自動運行」功能。
頁:
[1]