金山毒霸2月17日:谨防“摘星者下载器 ”和“无公害感染源”

"摘星者下载器49242 "（win32.troj.agent.49242），这是一个老下载器的变种。它会通过搜索窗口标题的办法找到杀毒软件的安全提示框，尝试关闭它们的进程，然后进行下载。新变种所对抗的杀毒软件较老版本而言增加了许多，涵盖了目前业内的大部分产品。

"无公害感染源84701"（win32.vbt.hl.84701），是一个感染型病毒。此毒病毒运行后，会寻找磁盘上的所有exe格式文件进行感染，不过它并不具备直接破坏系统的能力。该毒在去年11月时曾流行过一次，这次出现的是它的新变种。新变种可能是某款木马的组合模块。

一、

又一个老毒重出江湖。
" 摘星者下载器49242 "（win32.troj.agent.49242）这个木马早在2007年就曾流行过一次，因为能关闭瑞星的安全提示窗口，被命名为"摘星者"。在销声匿迹一年半后，它又出现了，而且感染量增长迅猛，保守感染值从前天的7千余台骤然飙升至昨日的11万台次。这次发现的变种，对抗范围大大增加，包含了目前业内大部分的安全软件。
该毒自带有一个庞大的字符库，内容为各安全软件的提示窗口字符和编码。"摘星者"利用它来搜索系统中是否有安全软件的提示窗口弹出，一经发现，便抢在它们显示出来前，将它们关闭，阻止用户获知系统中的异常。
随后的行为，就与其它下载器一样，下载列表中几乎都是网游盗号木马，这是也算是国内木马下载器的一个特色了。
关于该病毒的详细分析报告，可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-troj-agent-49242-50551.html

二、

很有意思，此毒与上面的"摘星者"一样，也是个重出江湖的老毒，而且这几天的感染增长量也与"摘星者"十分接近，它前一天的感染量不过是8千多台次，昨日却一下增加至9万9千多台次。

金山毒霸反病毒工程师认为，这两款老毒很可能是借助同一款未知的下载器进行传播，否则以他们的对抗能力，不可能达到这样迅猛的增长，并且连增长幅度也相同。

此毒较以前的版本而言，代码中增加了一些用于与其它模块相连接的接口，尽管在感染文件后依然不会直接破坏系统，却能与别的木马模块相配合了。至于它们"合体"后会有哪些危害，则要看木马执行模块的功能如何安排，不同的变种可能具有不同的功能。

关于该病毒的详细分析报告，可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-vbt-hl-84701-84701-50529.html

来自金山毒霸反病毒工程师的几点安全建议

1.安装专业的正版杀毒软件进行全面监控，防范日益增多的病毒。用户在安装反病毒软件之后，应将一些主要监控经常打开，并一定要开启自动升级功能，遇到杀毒软件异常的问题，要尽快与其生产厂商联系求助。
2.操作系统和第三方软件的安全补丁永远是电脑中最重要的安全环节。不论你安装的杀毒软件多么强大，只要你的系统中存在安全漏洞，病毒就可以找到突破防御的缝隙。因此，请尽可能使用正版软件，以获得及时的升级服务。
3.良好的上网习惯不可忽视。目前大部分病毒是通过网页挂马的形式来感染用户，因此建议用户一定要养成良好的网络使用习惯，如不要登录不良网站、不要进行非法下载等，这样才能切断病毒感染的途径，不给病毒以可乘之机。
4.警惕网络诈骗，切记"天上不可能掉馅饼"。杀毒软件可以为您拦截恶意程序的攻击，而至于基于社会工程学的诈骗，很多时候仍依赖于您自己的意志是否坚定。绝大多数网络诈骗都是利用受害者的贪便宜心理，比如QQ中大奖、网站抽大奖等。

金山毒霸反病毒应急中心及时进行了病毒库更新，升级毒霸到2009年2月17日的病毒库即可查杀以上病毒；如未安装金山毒霸，可以登录http://www.duba.net免费下载最新版金山毒霸2009或使用金山毒霸在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010-82331816，反病毒专家将为您提供帮助。

未经允许不得转载：DOIT » 金山毒霸2月17日:谨防“摘星者下载器 ”和“无公害感染源”