病毒预警:“宝马下载器变种”下载大量恶意程序
来自:MACD论坛(bbs.macd.cn)
作者:guyou888
浏览:1733
回复:0
马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有帐号?立即注册
x
“宝马下载器变种”(Win32.Troj.Killav.y.172032),此毒为宝马下载器的一款新变种。它拥有对抗功能,会尝试关闭常见的一些安全软件,然后往中毒电脑里下载大量的恶意程序。
“非法插件安装器”(win32.troj.addownload.ef.26184),这是一个流氓软件下载器。它会下载一款浏览器插件,悄悄安装到用户电脑中。
一、
非常值得关注的疫情变化,宝马家族又开始了新一轮的传播。昨我们曾发出预警的win32.troj.agent.pe.114688,已经被证实为宝马下载器的变种。而包括Win32.Troj.Killav.y.172032在内的多个变种,也在同步扩散着。
这批新变种具备类似AV终结者的对抗功能,会通过关闭安全软件进程,并对其建立映像劫持,阻止安全软件的正常运行,为那些随后由它下载的恶意程序提供生存空间。虽然经过免杀处理的宝马能暂时避开一些安全软件的监控,但那些普通的恶意程序——比如盗号木马,面对安全软件却无法实现隐藏。因此,宝马必须解决掉安全软件,才能顺利的执行下载。
这一批变种在基本功能上与老版本却几乎没有差别,仅仅是单一的免杀处理而已。不过,毒霸的安全专家们不会掉以轻心。由于变种多、且借助网页脚本挂马来做推广,宝马家族的攻击总量还是相当大。
如果发现自己电脑上的毒霸频繁报告发现此毒,说明系统中进入了未知的脚本下载器,这种情况不必慌张,清空系统缓存,并安装“系统急救箱”,运行后即可对其进行灭活清洗。
二、
尽管各大安全厂商一直保持强大的打击力度,但流氓软件还是没有真正根除,仍在推广传播。其中最常见的推广方式,就是不打招呼的悄悄安装。
“非法插件安装器”(win32.troj.addownload.ef.26184)就是一个专门帮助流氓软件进入用户电脑安装的下载器。
此毒借助一些脚本木马的帮助,或者捆绑于其它程序,入侵用户电脑。然后就会下载一个文件名为kxsosetup.exe的浏览器插件,并将其强行安装到用户电脑中。如果这个过程成功完成,那么这个浏览器插件就会不时的弹出些广告窗口,十分烦人。
如果发现电脑中混入了这种讨厌的插件,使用金山清理专家的“恶意软件查杀”功能即可将其清除。如果遭遇特别顽固的变种,那么也可以借助清理专家“安全百宝箱”中的“文件粉碎机”功能将其粉碎。 |