喜歡用的瀏覽器圖標突然不見了;桌面莫名其妙多了淘寶特賣之類的圖標;亂七八糟的圖標刪除重啟后依然會出現;瀏覽器首頁被重置成陌生網站……
近日,QQ電腦管家攔截了一款相當“有頭腦”的病毒團伙,該病毒分工明確,常常組團攻擊電腦,并且還會“互相打掩護”、“查殺后協助再生”、“繞彎自啟動”等“戰略戰術”,偽裝性、攻擊性、再生性極強,對用戶的殺傷力更大,也更難根除。
大BOSS很低調,普通應用藏殺機
通過分析發現,該病毒有一個“帶頭大哥”quicklnk.exe。與常見的木馬一樣,它也常常將自己偽裝起來,看上去就是一個普通應用,安全無害,事實上卻比普通木馬更加‘兇險’。
作為這個“犯罪團伙”的核心,quicklnk.exe負責給“病毒嘍羅”分配工作,一旦用戶運行該程序,病毒就會瞬間入侵到用戶電腦程序的各個入口:把Internet Exlporer.rar解壓到桌面,偽裝成Internet Exlporer圖標;把淘寶•特賣.exe,西游•仙劍.exe兩個文件拷貝到桌面,并讓它看上去就是一個圖標;把病毒Csrass.exe、setbrowser.exe偷偷的啟動起來,從而確保病毒一直處于激活狀態……電腦一旦中招,后患無窮!
嘍啰分工細,小強一樣殺不死
除了“帶頭大哥”, Csrass.exe算是這個病毒團伙中的‘二把手’,它主要負責啟動setbrowser.exe(刪除常見瀏覽器圖標),并調用iemonitor.dll(監控瀏覽器啟動并跳轉到指定的導航網站)。它的強大之處在于,自帶開機自啟動程序代碼,能夠讓病毒不斷復活、再生,從而成為保障其他病毒保持激活狀態的根本動力。
值得注意的是,被啟動的setbrowser,幾乎可以算是其他病毒‘掃除障礙’的先鋒軍,它能夠把桌面、快速啟動欄、包括“瀏覽器”、“傲游”、“谷歌”、“世界之窗”之類關鍵詞的快捷方式都刪除掉,為之后冒牌圖標的登場做準備。
在此基礎上,眾多“嘍啰兵”會四處出擊,破壞電腦。已知包含“Internet Exlporer.rar壓縮包”病毒、“由unins000.dat安裝程序生成的卸載相關文件”、“360se.exe”病毒、“quicklnk.exe”病毒、“unins000.exe”病毒、“UnRAR.exe解壓縮文件”病毒變種、“淘寶·特賣.exe”病毒、“西游·仙劍.exe”等等,讓人防不勝防!
QQ電腦管家安全專家表示,對于這種互為掩護、相互扶持的“組團病毒”,必須要進行針對性的預防和處理。QQ電腦管家的實時防護功能可以對其進行有效攔截,而已經中招的用戶使用QQ電腦管家的木馬查殺功能,即可輕松處理。
隨著互聯網技術的不斷發展,病毒技術也在更新換代,相較以往,越來越多的木馬病毒開始具備“智能性”。QQ電腦管家提醒,用戶千萬要擦亮雙眼,不要被看似樸實的小程序殺個措手不及!
(新聞稿 2011-11-25)