一、“非法扫描仪747520”(Win32.Troj.Agent.bw.747520) 威胁级别:★★
这个病毒是黑客程序,黑客可借助它对用户的系统进行非法扫描,并实现对用户电脑的完全控制。它本身的技术含量并不高,但近来传播范围较大,毒霸反病毒工程师检查后发现,这与该毒利用下载器和捆绑其它文件进行传播有较大关系。
病毒在进入系统并被激活后,就会复制自己的文件LVScom.exe到系统盘的%WINDOWS%\system32\目录中,然后删除原始文件,防止用户发现系统中出现多余的文件。接着,它就在注册表中添加自己的多个启动项,实现开机自启动。
最后,病毒自动连接某病毒作者指定的地址,接受指定的指令后,对中毒电脑进行非法扫描。然后按照指令的不同,执行不同的操作。由于指令可以是多样的,病毒作者(黑客)也就可以对中毒电脑进行任何他想要的操作。
二、“感染试验65536”(Win32.Vking.te.65536) 威胁级别:★
这个病毒经过一个简单的加壳,以对抗安全软件的查杀。它将自己附加到正常文件上,并改变自身的图标为被感染文件图标,实现伪装。
病毒在运行起来后,释放出正常文件,保证该文件可以正常运行,这样用户就不会察觉到系统异常。而实际上,病毒已经复制自身到系统的各磁盘分区中,并写入AUTO文件autorun.inf和病毒EXE文件,以等待用户双击盘符,以便自动运行起来。
而如果用户主动复制被感染的文件,或者在中毒电脑上使用U盘等移动存储设备,病毒也会自动运行,利用U盘实现传染。
需要注意的是,病毒EXE文件名字是空的,如果用户在自己系统盘根目录下发现名字为空的EXE文件,有可能就是此毒。另一个可用于判断是否中了该毒的方法是检查可疑文件的目录下是否有Desktop_.ini文件,这个文件记录得有正常文件被感染的日期,如果在所有的EXE文件目录下都出现此文件,那么说明电脑中了该毒。
该病毒的文件名为suchost.exe ,隐藏在%WINDOWS%\drivers\目录下,由于文件名与系统进程svchost.exe接近,这也就具备了一定的伪装能力。毒霸反病毒工程师发现,该毒除了自我传播外,不具有破坏能力,有可能是病毒作者用于练手的作品。
