目前共有3篇帖子。 內容轉換:不轉換▼
 
點擊 回復
276 2
病毒传播新方式:篡改系统正常开机启动项,开机自动下载木马病毒!
一派護法 十九級
1樓 發表于:2010-9-6 22:02
病毒传播新方式:篡改系统正常开机启动项Desktop.ini文件,开机自动下载木马病毒!

     从金山卫士安全中心近日监测的木马疫情数据查看得知,最近一段时间的恶意程序以修改电脑设置欺骗网民点击、安装插件的类型为主,这一趋势已经成为现下“黑色产业链”的主流敛财方法!

     使用金山卫士可以轻松解决一切由木马、病毒、流氓软件引起的问题:立即下载使用>>

     其中有一种通过修改Windows启动目录中Desktop.ini的木马极其突出,大有冲击病毒排行榜榜首之势。数据显示近期染毒的用户中有27%都感染了这一恶意程序。

     安全工程师分析得知:本木马程序通过修改系统启动目录中的Desktop.ini文件内容,并将对应的ini文件关联注册表项进行篡改,使用户一旦开机就会自动访问恶意网址并启动保存在QQ目录中的vbs脚本对恶意程序自动下载运行。令网民防不胜防。
一派護法 十九級
2樓 發表于:2010-9-6 22:02
一派護法 十九級
3樓 發表于:2010-9-6 22:03
    图中的左侧为正常的Desktop.ini文件内容会启动:C:\Windows\System32文件夹下的shell32.dll文件。而感染该病毒后的文件见右图,内容将改为:C:\Tencent\QQ\Bin目录下的一个由恶意软件生成的vbs文件(随机文件名)。该vbs文件会自动下载并安装从网上读取的插件列表,对计算机造成的危害不可估量。截至发稿时间,金山卫士帮助数十万的网友拦截、修复了这一恶意软件带来的种种困扰。立即下载使用>>

什么是Desktop.ini?
     Desktop.ini本身与病毒并没有多深的渊源,它是系统可识别的一个文件,作用是存储用户对文件夹的个性设置;而病毒所创建的 desktop.ini则不同(这么说也并不完全正确,见后文。),病毒所创建的文件内容依病毒的不同而异,可以是感染日期或其它的有意无意字符,在这次发现的病毒中,该恶意程序利用修改desktop.ini文件关联为lnk(快捷方式)继而达到用户开机即访问网络的目的。

其本身的作用有:
1.订制文件夹图标
2.修改文件夹背景
3.标示特殊文件夹
4.标示文件夹所有者
5.标识特殊的文件夹名称

回復帖子

內容:
用戶名: 您目前是匿名發表
驗證碼:
(快捷鍵:Ctrl+Enter)
 

本帖信息

點擊數:276 回複數:2
評論數: ?
作者:巨大八爪鱼
最後回復:巨大八爪鱼
最後回復時間:2010-9-6 22:03
 
©2010-2024 Arslanbar Ver2.0
除非另有聲明,本站採用共享創意姓名標示-相同方式分享 3.0 Unported許可協議進行許可。