新型木马病毒修改时间和注册表 威胁网络安全

李鬼卡巴42492”(Worm.AutoRun.42492)，这是一个下载者木马。它通过修改时间的方法使杀毒软件卡巴斯基失效，同时把自己伪装成卡巴斯基7.0的服务程序，在后台悄悄下载大量的木马病毒文件并运行。此病毒还会在所有磁盘分区的根目录下创建AUTO病毒，以便传播自己。

“平凡下载器变种90112”(Win32.Trojdownloader.Agent.90112)，这是一个木马下载者程序变种。病毒运行后会复制自身至系统盘中，并在所有硬盘分区的根目录下生成AUTO病毒。它还会加载一个病毒进程，利用Iexplore.exe在后台连接远程服务器，下载大量病毒及广告。

　　一、“李鬼卡巴42492”(Worm.AutoRun.42492) 威胁级别：★★

病毒进入用户的系统后，会把自身病毒文件sky.exe复制到系统盘的%WINDOWS%\system32\目录下，并将其属性设为系统隐藏文件，以免被用户发现。紧接着，它就搜索杀毒软件卡巴斯基的进程，如果找到，立即修改系统时间为1981-01-12，导致依赖系统时间卡巴斯基失效，然后，病毒就会试图删除卡巴斯基的服务。随后，病毒修改系统注册表，把自己的相关信息加入启动项，这样以后它都能随系统启动而自动运行起来。同时，它还会伪装成卡巴斯基7.0的服务程序。从修改时间时算起，15秒后，病毒恢复正确的系统时间，这样，它成功完成“偷天换日”，摇身变成了卡巴的模样，而用户却仍蒙在鼓里。

当病毒顺利地开始运行后，它就在后台建立远程连接，从木马作者指定的地址下载大量其它木马文件，并立刻运行它们。同时，病毒将自身文件sky.exe复制到各磁盘的根目录下，并创建对应的autorun.inf文件，只要用户在中毒电脑上使用U盘等移动存储器，病毒就会立刻将其传染，扩大自己的感染范围。

此外，该病毒具有自我删除的功能，当运行完后，它就在%WINDOWS%\system32\目录下创建一个Deledomn.bat文件，将自己的原始文件删除。

二、“平凡下载器变种90112”(Win32.Trojdownloader.Agent.90112) 威胁级别： ★

病毒进入电脑系统后，会在系统盘的%windows%\system32\目录下释放出病毒文件TxHMoU.Exe，并在全部的磁盘分区根目录下都生成AUTO病毒文件SoS.Exe和AUToRUN.Inf，只要用户双击含毒磁盘的盘符，病毒就会立即被激活。而如果用户在中毒电脑上使用U盘等移动存储器，病毒会立刻将其传染，以扩大自己的感染范围。

随后，病毒修改注册表，将自己的相关信息加入其中，实现开机自动启动之目的，并加载之前生成的TxHMoU.Exe文件，在后台打开IE浏览器的进程Iexplore.exe，利用它建立远程连接。从http://xx.5**l*ve.cn这个由木马作者指定地址下载大量其它病毒及广告，给用户的系统安全造成更大威胁，甚至造成用户个人隐私的泄露。

木马作者在进行破坏的同时，还会给自己打打广告，他在病毒中附上自己的名字和联系方式，让人觉得比较嚣张。

反病毒工程师建议

1.最好安装专业的杀毒软件进行全面监控，防范日益增多的病毒。用户在安装反病毒软件之后，应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。

2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，及时升级杀毒软件，开启防火墙以及实时监控等功能，切断病毒传播的途径，不给病毒以可乘之机。

来源:比特网