警惕MSN遭遇偽裝 瀏覽器被惡意修改

根據金山病毒播報中心提示,“警戒干擾者139776”(t.139776)是一個會修改IE瀏覽器安全設定的木馬。它進入系統後,會在後臺啟動IE瀏覽器程序,並修改IE瀏覽器的安全設定,使其它病毒及惡意程式能夠輕鬆地進入使用者系統,進行破壞活動。
  “刷屏下載器65536”(l.65536),這是一個下載器,該病毒原始檔會偽裝成MSN的外觀,容易迷惑使用者,當用戶執行該病毒後,病毒原始檔會自刪除,使使用者無法再找回病毒源。病毒執行後會自行下載病毒檔案到系統目錄下,自新增病毒啟動項,隨系統的啟動而觸發。當用戶執行檔案時,會出現無法開啟的狀況,有感染的症狀。
 
  一、“警戒干擾者139776”(t.139776)  

  威脅級別:★★

  病毒順利進入使用者的電腦系統後,將三個病毒檔案釋放到系統盤的%windows%system32目錄下,分別為、,以及。

  三個病毒檔案均有分工,其中的是病毒主程式,它的任務是在使用者無法察覺的情況下,於後臺服務中悄悄啟動IE瀏覽器程序,而兩個DLL檔案,其中一個負責修改登錄檔啟動項,將病毒主程式的相關資訊寫入其中,使病毒以後可以在使用者每次啟動電腦時跟著自動執行起來,另一個則負責注入IE程序,進行破壞活動。

   當主程式將IE啟動之後,負責破壞活動的DLL檔案就會注入IE程序中,修改IE的安全配置資料,將其安全等級降低。這樣一來,當用戶上網時,其它病毒和惡意程式就很容易進入使用者電腦,給系統造成無法估計的破壞。

 二、“刷屏下載器65536”(l.65536) 

  威脅級別:★★

  病毒進入電腦系統後,在系統盤的%windows%system32目錄下釋放出病毒主程式,以及在%windowDownloaded Program Files目錄下釋放出病毒檔案。由於其名稱與外觀都與微軟MSN通訊軟體接近,使用者就不易發現它。

 然後,病毒修改登錄檔,新增自己的主程式資訊到啟動項。這樣,當用戶在重啟機器時,它就會隨著系統的啟動而觸發。當病毒執行起來後,它會破壞系統中已安裝的安全軟體的相關資料,以及篡改大量的系統引數,如果使用者試圖檢視啟動項和使用安全軟體時,系統就會突然宕機,然後自動刷屏一次。而當病毒的犯罪最為猖獗之時,不僅僅是安全軟體,所有的可執行檔案、網頁檔案都會遇到以上麻煩,令使用者無法正常工作。

 該病毒的行為不僅僅是影響使用者使用電腦,如果使用者注意檢視系統盤臨時資料夾的目錄,就會發現已有部分病毒檔案被下載到其中,名稱如、、等。原來,病毒之前的破壞行為,都是為它能下載其它病毒到使用者系統中所做的鋪墊。當這些病毒檔案發作之後,使用者將遭受無法估計的更大損失。

警惕MSN遭遇偽裝 瀏覽器被惡意修改