9月27日,江民反病毒中心监测到,某个传播量非常大的木马下载服务器疑似本身被其它病毒感染。该服务器原本能够下载20多款网游盗号木马和恶意广告程序等病毒,然而今日上午监测到该木马下载服务器上的病毒主体文件大小反复发生变化,而且其中所有的网游盗号木马下载地址在某一时刻全部失效。
经江民反病毒专家分析,其木马下载服务器可能被一个名为“Win32/Parite.a”的蠕虫病毒所感染,该蠕虫病毒会感染“.exe”等可执行文件,由于木马下载服务器拥有者反复清除也未能将该蠕虫病毒彻底清除干净,所以导致其木马下载服务器上的病毒主体文件还原后又被感染,文件大小反复发生变化。
Win32/Parite.a,是一个很久以前曾经大规模传播的变形蠕虫病毒。可以感染Windows中的可执行文件,也可以利用网络映射驱动器和网络共享进行自我传播。
感染了“Win32/Parite.a”蠕虫病毒的木马下载服务器IP地址为“61.155.140.4”,服务器所在地指向江苏苏州电信。该木马下载服务器中存放了大量的病毒下载连接,其中一个木马程序“Trojan/StartPage.aza”的下载地址为“http://61.155.140.4/l9.exe”。该病毒主体在没有被蠕虫病毒“Win32/Parite.a”感染前的文件大小为“35,840 字节”,感染了蠕虫病毒“Win32/Parite.a”以后的文件大小变为“213,754 字节”。
木马程序“Trojan/StartPage.aza”是一个驱动级的流氓广告病毒,用户如不慎感染该病毒,则系统中的IE浏览器启始页就会被强行设置为“http://www.3929.cn/?tn=***”。如果不把该病毒彻底清除干净的话,那么用户很难删除和修改IE浏览器的起始页,给用户的正常上网带来不便。使用江民杀毒软件中的“BootScan”可以有效查杀该木马程序“Trojan/StartPage.aza”。
针对以上两个病毒,江民杀毒软件KV2008、KV2009(公测版)可有效防御,用户只需正常升级杀毒软件病毒库即可防御以上病毒于系统之外,确保电脑数据和网络游戏帐号安全。