病毒预警：“宝马下载器变种”下载大量恶意程序

guyou888

病毒预警：“宝马下载器变种”下载大量恶意程序

来自：MACD论坛(bbs.macd.cn) 作者：guyou888 浏览：1733 回复：0

　“宝马下载器变种”（Win32.Troj.Killav.y.172032），此毒为宝马下载器的一款新变种。它拥有对抗功能，会尝试关闭常见的一些安全软件，然后往中毒电脑里下载大量的恶意程序。

　　“非法插件安装器”（win32.troj.addownload.ef.26184），这是一个流氓软件下载器。它会下载一款浏览器插件，悄悄安装到用户电脑中。

　　一、

　　非常值得关注的疫情变化，宝马家族又开始了新一轮的传播。昨我们曾发出预警的win32.troj.agent.pe.114688，已经被证实为宝马下载器的变种。而包括Win32.Troj.Killav.y.172032在内的多个变种，也在同步扩散着。

　　这批新变种具备类似AV终结者的对抗功能，会通过关闭安全软件进程，并对其建立映像劫持，阻止安全软件的正常运行，为那些随后由它下载的恶意程序提供生存空间。虽然经过免杀处理的宝马能暂时避开一些安全软件的监控，但那些普通的恶意程序——比如盗号木马，面对安全软件却无法实现隐藏。因此，宝马必须解决掉安全软件，才能顺利的执行下载。

　　这一批变种在基本功能上与老版本却几乎没有差别，仅仅是单一的免杀处理而已。不过，毒霸的安全专家们不会掉以轻心。由于变种多、且借助网页脚本挂马来做推广，宝马家族的攻击总量还是相当大。

　　如果发现自己电脑上的毒霸频繁报告发现此毒，说明系统中进入了未知的脚本下载器，这种情况不必慌张，清空系统缓存，并安装“系统急救箱”，运行后即可对其进行灭活清洗。


　　二、


　　尽管各大安全厂商一直保持强大的打击力度，但流氓软件还是没有真正根除，仍在推广传播。其中最常见的推广方式，就是不打招呼的悄悄安装。

　　“非法插件安装器”（win32.troj.addownload.ef.26184）就是一个专门帮助流氓软件进入用户电脑安装的下载器。

　　此毒借助一些脚本木马的帮助，或者捆绑于其它程序，入侵用户电脑。然后就会下载一个文件名为kxsosetup.exe的浏览器插件，并将其强行安装到用户电脑中。如果这个过程成功完成，那么这个浏览器插件就会不时的弹出些广告窗口，十分烦人。

　　如果发现电脑中混入了这种讨厌的插件，使用金山清理专家的“恶意软件查杀”功能即可将其清除。如果遭遇特别顽固的变种，那么也可以借助清理专家“安全百宝箱”中的“文件粉碎机”功能将其粉碎。