[pc3721] 3月1日病毒播报：关门放狗穿透还原卡下载木马[3-1]

　　“关门放狗”（Win32.Troj.DownloaderT.pl.43008），这是一个木马下载者。它会释放机器狗驱动文件实现还原卡穿透，并从木马种植者指定的网址下载木马程序，给用户系统造成安全威胁。

　　一、“广告弹射器103889”（Win32.Adware.BHO.fi） 威胁级别：★

　　病毒进入系统后，将病毒文件hhctrl.ocx释放到系统盘的%Program Files%Common FilesSystem目录下，并将该文件的相关信息写入注册表启动项，把自己注册为IE浏览器的插件，以实现开机自启动。

　　接着，病毒修改系统修改 Windows管理器中的服务文件，它会释放出一批同名文件，替换掉%WINDOWS%system32wbemRepositoryFS文件夹下的INDEX.MAP、MAPPING.VER、MAPPING1.MAP、OBJECTS.MAP，并破坏系统注册表中的有关数据，使得压缩包内的文件可以自动运行，并在鼠标右键菜单中加入自己的广告信息。

　　要是病毒能成功完成以上步骤，当用户打开IE浏览器时，就会自动弹出广告窗口，引导用户点击登陆木马种植者指定的广告页面，给用户的正常使用造成不便。

　　二、“关门放狗”（Win32.Troj.DownloaderT.pl.43008） 威胁级别：★★

　　病毒进入用户的电脑系统，在系统盘中释放出五个病毒文件，其中四个是以系统盘根目录下，以1至4的数字命名的EXE文件，另外一个是%WINDOWS%Temp目录下随即命名的tmp格式文件，这个文件其实是臭名昭著的“机器狗”木马的驱动程序。

　　接着，病毒修改系统注册表，创建一个名为sys_flt的服务，并将该服务程序指向之前生成的tmp文件。如果tmp文件被顺利加载，就会将自身复制到系统盘的“%Documents and Settings%All Users「开始」菜单程序启动”目录下，并置其属性为只读。

　　在电脑里站稳脚跟后，机器狗会通过一系列快速的计算，解除还原系统对电脑的保护。如确定突破了保护，病毒就悄悄连接http://www.2**01*8.cn/api/other这个由木马种植者指定的地址，下载其它木马程序到用户电脑上运行，给用户的系统安全带来无法估计的威胁。

　　“机器狗”这类针对还原系统进行穿透破解的木马多见于网吧等公共场所的电脑，用户操作公用电脑时需提高警惕。建议使用杀毒U盘或将清理专家等支持绿色的安全辅助软件装在U盘里随身携带，以便在公用电脑上进行查杀。

                                                                                                                                                             已被阅读： 次

重庆电脑维修上门电脑维护电脑外包 公司包月维护

【讯闪科技 pc3721电脑维修中心】 正规公司运营 技术实力优秀 服务有保障! 　

热线电话： 023-62607382 66399947