計算機軟考網絡管理：警惕廣告下載器偽裝成圖片下載更多病毒

金山7月15日病毒播報:“腳本下載器2927”（JS.Downloader.ax.2927），這是一個腳本病毒。它的實質是一個遠程木馬程序，該毒會在電腦中實現自動運行，然后連接指定的遠程地址。
    “廣告下載器184320”（Win32.Adware.BhoT.ae.184320），這是一個廣告程序。它會修改注冊表，實現開機自啟動。然后下載大量木馬程序。它的部分變種會修改IE瀏覽器的數據，讓IE瀏覽器指向病毒作者指定的廣告網站，并頻繁彈出廣告窗口。
    一、“腳本下載器2927”（JS.Downloader.ax.2927） 威脅級別：★
    病毒進入用戶電腦，在%WINDOWS%\SYSTEM32\目錄下釋放出病毒文件sysrunchesever1.exe和syskaka1.dll，以及系統盤根目錄下的tempsysche.exe。其中，sysrunchesever1.exe是病毒主文件，病毒會將它寫入注冊表啟動項，讓自己能夠實現開機自啟動。
    一旦用戶重啟電腦，病毒就能夠運行起來。它會注入到系統桌面進程中，在后臺悄悄連接病毒作者指定的遠程地址，發(fā)送用戶系統的信息，如IP、操作系統版本等，然后，就等待病毒作者（黑客）連接。在等待的期間，它也會下載一些病毒文件。
    此外，此病毒具有防止重復運行的功能。每當它進入一臺電腦，都會創(chuàng)建了一個互斥體 FirstName ，防止自己的其它副本到這臺電腦中重復運行。
    二、“廣告下載器184320”（Win32.Adware.BhoT.ae.184320） 威脅級別：★
    這個廣告木馬近來出現較多變種，已安裝毒霸的電腦用戶可不必擔心，對于沒有安裝毒霸的用戶，則需要注意。
    此毒進入電腦后，在系統盤的%WINDOWS%\TEMP\臨時目錄下釋放出自己的文件soa0999.tmp，還有一個文件jkhxaklo.dll則被釋放到%WINDOWS%\SYSTEM32\目錄下。
    病毒修改注冊表，把jkhxaklo.dll添加到啟動項，實現開機自啟動。由此，可知道此文件是病毒的主程序。習慣手動查殺的用戶，可利用金山清理專家中的粉碎機將此文件徹底粉碎。
    一旦的到成功運行，病毒就會連接http://51***9.cn這個由病毒作者指定的地址，下載一份病毒列表，然后根據其中的地址去下載更多別的病毒。需要注意的是，病毒會將這份病毒列表偽裝成一個名為way.jpg的圖片文件，藏在%WINDOWS%\Cursors\目錄中。
    此毒的部分變種，在下載病毒的同時，還會根據病毒作者設置的升級功能，獲取一些廣告網站的地址，隨機彈出，誘導用戶點擊，讓人感到心煩。
    金山反病毒工程師建議
    1.安裝專業(yè)的殺毒軟件進行全面監(jiān)控，防范日益增多的病毒。用戶在安裝反病毒軟件之后，應將一些主要監(jiān)控經常打開（如郵件監(jiān)控、內存監(jiān)控等）、經常進行升級、遇到問題要上報，這樣才能真正保障計算機的安全。
    2.由于玩網絡游戲、利用QQ等即時聊天工具交流的用戶數量逐漸增加，所以各類盜號木馬必將隨之增多，建議用戶一定要養(yǎng)成良好的網絡使用習慣，如不要登錄不良網站、不要進行非法下載等，切斷病毒傳播的途徑，不給病毒以可乘之機。