計算機軟考網(wǎng)絡(luò)管理：警惕廣告下載器偽裝成圖片下載更多病毒

金山7月15日病毒播報:“腳本下載器2927”（JS.Downloader.ax.2927），這是一個腳本病毒。它的實質(zhì)是一個遠程木馬程序，該毒會在電腦中實現(xiàn)自動運行，然后連接指定的遠程地址。
    “廣告下載器184320”（Win32.Adware.BhoT.ae.184320），這是一個廣告程序。它會修改注冊表，實現(xiàn)開機自啟動。然后下載大量木馬程序。它的部分變種會修改IE瀏覽器的數(shù)據(jù)，讓IE瀏覽器指向病毒作者指定的廣告網(wǎng)站，并頻繁彈出廣告窗口。
    一、“腳本下載器2927”（JS.Downloader.ax.2927） 威脅級別：★
    病毒進入用戶電腦，在%WINDOWS%\SYSTEM32\目錄下釋放出病毒文件sysrunchesever1.exe和syskaka1.dll，以及系統(tǒng)盤根目錄下的tempsysche.exe。其中，sysrunchesever1.exe是病毒主文件，病毒會將它寫入注冊表啟動項，讓自己能夠?qū)崿F(xiàn)開機自啟動。
    一旦用戶重啟電腦，病毒就能夠運行起來。它會注入到系統(tǒng)桌面進程中，在后臺悄悄連接病毒作者指定的遠程地址，發(fā)送用戶系統(tǒng)的信息，如IP、操作系統(tǒng)版本等，然后，就等待病毒作者（黑客）連接。在等待的期間，它也會下載一些病毒文件。
    此外，此病毒具有防止重復(fù)運行的功能。每當(dāng)它進入一臺電腦，都會創(chuàng)建了一個互斥體 FirstName ，防止自己的其它副本到這臺電腦中重復(fù)運行。
    二、“廣告下載器184320”（Win32.Adware.BhoT.ae.184320） 威脅級別：★
    這個廣告木馬近來出現(xiàn)較多變種，已安裝毒霸的電腦用戶可不必?fù)?dān)心，對于沒有安裝毒霸的用戶，則需要注意。
    此毒進入電腦后，在系統(tǒng)盤的%WINDOWS%\TEMP\臨時目錄下釋放出自己的文件soa0999.tmp，還有一個文件jkhxaklo.dll則被釋放到%WINDOWS%\SYSTEM32\目錄下。
    病毒修改注冊表，把jkhxaklo.dll添加到啟動項，實現(xiàn)開機自啟動。由此，可知道此文件是病毒的主程序。習(xí)慣手動查殺的用戶，可利用金山清理專家中的粉碎機將此文件徹底粉碎。
    一旦的到成功運行，病毒就會連接http://51***9.cn這個由病毒作者指定的地址，下載一份病毒列表，然后根據(jù)其中的地址去下載更多別的病毒。需要注意的是，病毒會將這份病毒列表偽裝成一個名為way.jpg的圖片文件，藏在%WINDOWS%\Cursors\目錄中。
    此毒的部分變種，在下載病毒的同時，還會根據(jù)病毒作者設(shè)置的升級功能，獲取一些廣告網(wǎng)站的地址，隨機彈出，誘導(dǎo)用戶點擊，讓人感到心煩。
    金山反病毒工程師建議
    1.安裝專業(yè)的殺毒軟件進行全面監(jiān)控，防范日益增多的病毒。用戶在安裝反病毒軟件之后，應(yīng)將一些主要監(jiān)控經(jīng)常打開（如郵件監(jiān)控、內(nèi)存監(jiān)控等）、經(jīng)常進行升級、遇到問題要上報，這樣才能真正保障計算機的安全。
    2.由于玩網(wǎng)絡(luò)游戲、利用QQ等即時聊天工具交流的用戶數(shù)量逐漸增加，所以各類盜號木馬必將隨之增多，建議用戶一定要養(yǎng)成良好的網(wǎng)絡(luò)使用習(xí)慣，如不要登錄不良網(wǎng)站、不要進行非法下載等，切斷病毒傳播的途徑，不給病毒以可乘之機。