“播放器漏洞脚本2136”(JS.Agent.tv.2136),这是一个下载器程序。它利用RealPlayer多媒体软件的漏洞来运行,一旦运行成功将会从指定的地址下载木马程序执行。
“武装下载器77824”(Win32.Troj.Agent.bl.77824),这是一个具有对抗安全软件能力的病毒下载器。它通过重定位内核文件恢复系统的SSDT表,从而使一些具有所谓“主动防御”的安全软件失效。接着,就连接远程地址,下载其它病毒。
一、“播放器漏洞脚本2136”(JS.Agent.tv.2136) 威胁级别:★★
从数周前开始,RealPlayer的漏洞利用病毒数量开始异常增多,毒霸反病毒工程师几乎每天都能截获到大量利用RealPlayer漏洞进行破坏的脚本病毒,相信这种情况与病毒制作集团不断开发新的病毒生成器有较大关系。
此篇预警播报中的病毒是众多RealPlayer漏洞利用脚本病毒中的一个变种,它和其它变种一样,都是利用网页挂马和捆绑视频文件的方式进行传播。只要用户浏览被挂马的网站,或者播放了含毒视频文件,病毒就可以在用户系统中发作。
病毒运行起来后在后台建立远程连接,从病毒作者指定的地
http://www.d**io.com下载一个病毒文件,并保存到系统盘的%WINDOWS\system32\目录下,命名为%a.exe。
受此毒影响的RealPlayer版本为6.0.10.4,安装得有该版本的用户请尽快下载升级文件。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅
http://vi.duba.net/virus/js-agent-tv-2136-50635.html
二、“武装下载器77824”(Win32.Troj.Agent.bl.77824) 威胁级别:★
这个下载器病毒带有自己驱动文件,因此对抗安全软件的能力相对普通病毒来说要高出许多。它如果进入用户系统,就会利用自己的驱动,重定位内核文件,恢复用户电脑中的SSDT表。这样一来,一些具有所谓“主动防御”功能的安全软件的防御能力就会大大降低。
病毒进入系统后,会判断当前的WINDOWS操作系统是否为 2000、XP或2003版本,如果是,则在系统临时目录%Temp% 文件夹下释放出驱动文件。然后修改注册表,创建服务名为“winsync32”的系统服务,服务路径指向正是之前释放出的驱动文件。
等驱动文件解除了安全软件的“武装”,病毒就把自身文件msosiocp.dll复制至 %WINDOWS%\system32\目录下,并将其注入系统桌面进程explorer.exe,实现隐蔽运行。如果可以成功运行起来,它就可以连接病毒作者指定的地址http:/ /c.1**dm.com/下载一份名为okok.txt的下载列表,根据列表中的地址去下载更多其它病毒到用户电脑中运行,引起更多的破坏行为。
