"宝马下载器变种"(win32.trojdownloader.ek__58db55aa.121352),这是宝马家族的一个木马下载器。该变种于4月的最后一天突然爆发,能尝试对抗安全软件,如果顺利将安全软件关闭,就会下载大量的网游盗号木马和广告插件到用户电脑中运行。
"非法插件安装器"(win32.troj.addownload.ef.26184)这是一个流氓软件下载器。它会下载一款浏览器插件,悄悄安装到用户电脑中。
一、
在4月的最后一天,也就是4月30号,宝马下载器一款新的变种"win32.trojdownloader.ek__58db55aa.121352"出现爆发。这一变种针对目前市场上的主流安全软件都做了免杀处理,并且在躲过查杀后会立刻"反杀"安全软件。
将此毒引入电脑的,是网页脚本木马,这些脚本木马也经过免杀处理,包含有多款系统安全漏洞的利用代码,如果访问被挂网页的电脑刚好具有这些漏洞,脚本木马就能攻入系统,将"宝马下载器"下载到电脑中,再由其下载更多的盗号木马和广告插件。
结合宝马下载器整四月的表现,金山毒霸反病毒工程师认为,在5月份,此家族的成员依然会是广大电脑用户面临的最大威胁。
针对宝马下载器免杀频繁、变种数量多,我们推荐用户安装"网盾",抵御挂马攻击,只要将病毒进入电脑的渠道封住,那么它们自然也就相对的不具备威胁了。
网盾下载地址:http://labs.duba.net/wd.shtml
二、
截止4月30号,自上一次的爆发后,"非法插件安装器"(win32.troj.addownload.ef.26184)已经是第三天呈现出感染量下降趋势,可是观察其整个4月份的感染量数字走向,可以发现该毒依然具备较大的反弹能力。
至于何时爆发,取决于病毒作者何时开始继续制作变种。此毒是一个专门帮助流氓软件进入用户电脑安装的下载器。它借助一些脚本木马的帮助,或者捆绑于其它程序,入侵用户电脑。
一旦入侵成功,就会下载一个文件名为kxsosetup.exe的浏览器插件,并将其强行安装到用户电脑中,随后就不时弹出广告窗口,十分烦人。不过对病毒作者来说,安装量越大,他们得到的提成也就越多,这是一种将自己的收益建立在用户痛苦基础上的缺德手段。
如果发现电脑中混入此毒,使用金山清理专家的"恶意软件查杀"功能即可将其清除。如果遭遇特别顽固的变种,那么也可以借助清理专家"安全百宝箱"中的"文件粉碎机"功能将其粉碎。
如果您不是毒霸用户,却在自己电脑中发现了无法根除的IE插件,那么我们可为您提供免费的"系统急救箱",安装后运行,即可将这些讨厌的插件"暴力清除"。
"系统急救箱"下载地址 http://labs.duba.net/jjx.shtml 需提醒的是,此工具在运行后出现蓝屏是正常现象,下载前请阅读使用说明。
来自金山毒霸反病毒工程师的几点安全建议
1.安装专业的正版杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开,并一定要开启自动升级功能,遇到杀毒软件异常的问题,要尽快与其生产厂商联系求助。
2.操作系统和第三方软件的安全补丁永远是电脑中最重要的安全环节。不论你安装的杀毒软件多么强大,只要你的系统中存在安全漏洞,病毒就可以找到突破防御的缝隙。因此,请尽可能使用正版软件,以获得及时的升级服务。
3.良好的上网习惯不可忽视。目前大部分病毒是通过网页挂马的形式来感染用户,因此建议用户一定要养成良好的网络使用习惯,如不要登录不良网站、不要进行非法下载等,这样才能切断病毒感染的途径,不给病毒以可乘之机。
4.警惕网络诈骗,切记"天上不可能掉馅饼"。杀毒软件可以为您拦截恶意程序的攻击,而至于基于社会工程学的诈骗,很多时候仍依赖于您自己的意志是否坚定。绝大多数网络诈骗都是利用受害者的贪便宜心理,比如QQ中大奖、网站抽大奖等。
金山毒霸反病毒应急中心及时进行了病毒库更新,升级毒霸到2009年5月1日的病毒库即可查杀以上病毒;如未安装金山毒霸,可以登录http://www.duba.net免费下载最新版金山毒霸2009或使用金山毒霸在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010-82331816,反病毒专家将为您提供帮助。
