警惕底層Rootkit病毒新變種

"系統(tǒng)侵蝕者"（Win32.Troj.AntiAV.e.172098）這是一個(gè)極具破壞性的病毒。當(dāng)病毒一運(yùn)行后，桌面立即會(huì)消失，而且無法對(duì)系統(tǒng)做任何的操作，能看見的只是一個(gè)藍(lán)色的桌面而已。
    "Rootkit25920"（Win32.TrojDownloader.HmirT.a.25920）這是一個(gè)Rootkit病毒。該病毒會(huì)監(jiān)視userinit.exe和explorer.exe進(jìn)程，創(chuàng)建、修改注冊(cè)表啟動(dòng)項(xiàng)、服務(wù)項(xiàng)鍵，躲避安全監(jiān)視工具，創(chuàng)建文件。
    一、"系統(tǒng)侵蝕者"（Win32.Troj.AntiAV.e.172098） 威脅級(jí)別：★★
    該病毒破壞能力立桿見影，除了立即使桌面消失以外，當(dāng)用戶重啟機(jī)器后，會(huì)發(fā)現(xiàn)同樣只顯示藍(lán)色的桌面，此時(shí)尋找支控桌面的explorer.exe系統(tǒng)文件時(shí)，會(huì)發(fā)現(xiàn)該系統(tǒng)文件已經(jīng)被病毒刪除。當(dāng)我們使用ctrl+alt+del熱鍵顯示出任務(wù)管理器時(shí)，通過瀏覽方式查看到"我的電腦"圖標(biāo)已經(jīng)被刪除，變成默認(rèn)的圖標(biāo)。該病毒會(huì)給用戶的心理和系統(tǒng)已經(jīng)造成嚴(yán)重的影響。
    二、"Rootkit25920"（Win32.TrojDownloader.HmirT.a.25920） 威脅級(jí)別：★
    該病毒是一個(gè)rootkit深層病毒。該病毒會(huì)通過調(diào)用一些函數(shù)，通過函數(shù)避免安全軟件的監(jiān)視和截獲。并且還會(huì)在注冊(cè)中建立新的病毒鍵值，其服務(wù)名為saiujrh38l.其對(duì)應(yīng)的病毒文件路徑為：%System32%\DRIVERS\saiujrh38l.sys.該病毒會(huì)監(jiān)視userinit.exe和explorer.exe系統(tǒng)進(jìn)程，當(dāng)監(jiān)測(cè)到有userinit.exe啟動(dòng)時(shí)，則會(huì)惡意修改注冊(cè)表的runonce項(xiàng)，通過用戶在下次啟動(dòng)系統(tǒng)時(shí)觸發(fā)病毒，其病毒對(duì)應(yīng)的路徑為：%systemroot%\system32\55Id.dll.當(dāng)病毒監(jiān)測(cè)到有explorer.exe系統(tǒng)進(jìn)程時(shí)，則創(chuàng)建一個(gè)新進(jìn)程，其進(jìn)程名為saiujrh38l.sys，對(duì)應(yīng)路徑是：%SystemRoot%\system32\drivers.
    金山反病毒工程師建議
    1.安裝專業(yè)的殺毒軟件進(jìn)行全面監(jiān)控。建議用戶安裝反病毒軟件防止日益增多的病毒，用戶在安裝反病毒軟件之后，應(yīng)該經(jīng)常進(jìn)行升級(jí)、將一些主要監(jiān)控經(jīng)常打開（如郵件監(jiān)控、內(nèi)存監(jiān)控等），遇到問題要上報(bào)， 這樣才能真正保障計(jì)算機(jī)的安全。
    2.玩網(wǎng)絡(luò)游戲、利用QQ聊天的用戶會(huì)有所增多，所以各類盜號(hào)木馬必將隨之增多，建議用戶一定要養(yǎng)成良好的網(wǎng)絡(luò)使用習(xí)慣，及時(shí)升級(jí)殺毒軟件，開啟防火墻以及實(shí)時(shí)監(jiān)控等功能，切斷病毒傳播的途徑，不給病毒以可乘之機(jī)。