病毒预警：“蚯蚓下载器”大量下载木马 占用系统资源

guyou888

病毒预警：“蚯蚓下载器”大量下载木马 占用系统资源

来自：MACD论坛(bbs.macd.cn) 作者：guyou888 浏览：2037 回复：0

“蚯蚓下载器61440”（Win32.TrojDownloader.Calac.lf.61440），这是一个木马下载器。它会将大量的木马下载到系统的临时目录并执行，随着运行木马的数量逐渐增大，系统资源会被严重占用。

　　“AV变种81920”（Win32.Troj.KillAV.ni.81920），这是AV终结者的一个变种。它进入系统后会搜索一些常见的安全软件，将它们关闭或劫持。然后下载其它木马到电脑中执行。

　　一、“蚯蚓下载器61440”（Win32.TrojDownloader.Calac.lf.61440）威胁级别：★

　　该毒名称来源于它所下载的木马文件名，这些木马文件被下载后，全部都是随机生成名称，但都类似于s903wt.exe、s5231wt.exe、s3883wt.exe等形式，均由S字母打头。

　　病毒每下载成功一个木马，就会立即将其激活执行，然后删除其原始文件，避免用户发现系统中出现陌生的文件。但是，由于下载量较大，随着这些木马的运行，系统资源会被逐渐占用，电脑运行变慢甚至死机。

　　二、“AV变种81920”（Win32.Troj.KillAV.ni.81920）威胁级别：★

　　AV终结者的对抗能力在此变种中依然得到继承。该变种利用其释放到%WINDOWS%\SYSTEM32\目录中的Nskhelper2.sys驱动文件对注册表中的数据进行搜索，只要发现常见的安全软件，就破坏它们的数据，对它们执行映像劫持，令这些安全软件失效。

　　同时，该毒会释放出自己的执行文件，在后台悄悄连接病毒作者指定的远程服务器，下载其它木马。这些木马多为盗号程序，会对用户的网游帐号、网银帐号构成威胁。