01.29病毒预警：下载者木马会下载海量病毒盗号

lukeji3

01.29病毒预警：下载者木马会下载海量病毒盗号
“logogo变种151552”（Win32.LwyMum.i.151552），这是一个logogo病毒变种。病毒运行后会释放病毒文件至系统文件夹和每个硬盘根目录，劫持大部分安全软件和感染硬盘中的大部分exe文件。
　　“下载者77964”（win32.pswtroj.win32.77964），这是一个木马下载者。该病毒运行成功后，会立即下载海量的病毒，占用内存，使用户操作困难。并且被下载的病毒文件具有盗号的目的并稍微带有破坏情节。盗取的对象是当前比较流行且大型的网络游戏和通讯工具的帐号密码等。

　　一、“logogo变种151552”（Win32.LwyMum.i.151552） 威胁级别：★

　　病毒进入电脑系统后，在系统盘%WINDOWS%\\system\\目录下释放出病毒文件BoBoTurbo.exe，在全部磁盘分区的根目录下生成AUTO文件XP.EXE和autorun.inf，并修改注册表实现开机自动运行。此后，只要用户打开含毒磁盘分区，病毒就会被激活。而如果在中毒电脑上使用U盘等移动存储设备，病毒也会自动运行起来，并感染U盘。

　　一旦病毒开始运行，它就会劫持系统中已安装的安全软件，目前国内外常见的安全软件几乎都在它的黑名单中。被劫持后，安全软件将无法运行，如果用户试图启动这些软件，只会将病毒不停激活而已。

　　随后，病毒搜索用户系统中的EXE可执行文件，除了QQ和系统升级等少数文件“漏网”外，大部分EXE文件都会被感染。病毒会在被感染的exe文件中增加一个标记，防止自己重复感染。然后收集用户计算机名字和网卡物理地址等信息，发送至hxxp://u**on.2*575.com/count/count这个由病毒作者指定的远程网址，并统计中毒者人数，计算自己的“战果”。

　　进入发作的后期，病毒会悄悄连接远程服务器，下载大量其它病毒文件到用户电脑上运行，给用户的系统安全造成无法估计的威胁。

　　二、“下载者77964”（win32.pswtroj.win32.77964） 威胁级别：★★

　　病毒进入系统后，在%WINDOWS%目录下释放出病毒文件NVDispDRV.EXE和SHAProc.exe，然后修改注册表中的数据，使自己实现开机自动运行。

　　如果得以成功运行，病毒源文件会读取其自带的文本“new[1].txt”，根据里面所写的连接地址下载病毒文件，存放到%windows%、%system32%、%drivers%等文件夹下。运行成功后，病毒会进行自删除，避免用户找到毒源。被下载的病毒大部分是盗号木马，会盗取目前流行的即时聊天软件和网游的帐号密码。

　　在病毒发作的过程中，偶尔会弹出一个对话框，名字为“RUNDLL”，如果用户检查其属性，可看到它的内容是“shell32.dll出错 丢失条目:control_rundll”。随着被下载的病毒文件陆续发作，系统资源将被大大占用，最后电脑会陷入半瘫痪状态。

　　金山反病毒工程师建议

　　1.最好安装专业的杀毒软件进行全面监控，防范日益增多的病毒。用户在安装反病毒软件之后，应将一些主要监控经常打开（如邮件监控、内存监控等）、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。

　　2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，及时升级杀毒软件，开启防火墙以及实时监控等功能，切断病毒传播的途径，不给病毒以可乘之机。

　　金山毒霸反病毒应急中心及时进行了病毒库更新，升级毒霸到2008年1月29的病毒库即可查杀以上病毒；如未安装金山毒霸，可以登录http://www.duba.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816，反病毒专家将为您提供帮助。