“摄魂机”借壳跑路

　　本周安全预警："摄魂机"病毒|0">病毒岁末借壳跑路。

　　12月29日，金山毒霸全球反病毒监测中心发布周（12.29-1.4）病毒预警，本周需警惕"摄魂机"病毒，该病毒最大的特点是盗用正常文件的图标，"借壳上路"。一旦感染，".exe"文件便成为病毒的傀儡，执行"下载其它木马和弹广告窗口等"功能，给用户带来无尽麻烦。

　　金山毒霸反病毒专家李铁军表示，这个广告木马最新变种已具备了二次感染能力，因此传播速度极快。如果用户试图打开被它修改过的文件时，只会收到"非法的win32程序"的提示，而无法运行，严重影响到用户正常使用电脑。

　　李铁军分析指出，当病毒进入用户系统，便搜索%Program Files%文件夹和非系统分区文件夹中的".exe"文件，读取其图标文件。一旦发现与自己图标的大小吻合(0x8A8)，则立即用病毒文件覆盖该文件的头部，同时仍然保持该文件的图标。这样一来，病毒就能借助原".exe"文件的躯壳隐藏于系统中。然后弹出广告网站的窗口，并下载一些其它木马。

　　据了解，本周内广大电脑用户除了需要警惕"摄魂机"（Win32.Troj.Kavsp.a）之外，还需要特别警惕"虚假泡泡"（Win32.Troj.Agent.po.389120）与"游离控制器97828"（Win32.Hack.PcClient.al.97828）两大病毒。前者是一个广告木马程序。它会冒充一些常见杀毒软件的泡泡，欺骗用户点击，从而将用户引导到病毒作者指定的网站，给该网站增加流量。而且这个网站具有不安全因素，用户一旦登录，系统资源就会被大量占用，甚至造成死机；后者是一个远程控制木马的组成模块。病毒通过创建匿名管道的办法，开启多个敏感端口，在系统中建立后门，以便黑客可以对用户系统进行远程控制。

　　根据本周病毒传播特点，金山毒霸反病毒应急中心及时进行了病毒库更新，升级毒霸到2008年12月29日的病毒库即可查以上病毒；如未安装金山毒霸，可以登录http://www.duba.net免费下载具有"云安全"体系的最新版金山毒霸2009或使用金山毒霸在线杀毒来防止病毒入侵。