安天实验室12月31日病毒预警

一、“广告木马”（Trojan/Win32.Agent.cyaf[Downloader]） 威胁级别：★★★★

    该病毒为广告弹窗木马，病毒运行后创建互斥量名为"mutex_cpa_.la"，调用函数关闭Intemet连接、共享和防火墙服务，在D盘创建Winup目录，删除%Program Files%目录下的nowlist.dat文件，连接网络读取列表将列表保存到%Program Files%目录下命名为nowlist.dat，扫描nowlist.dat文件开头字串是否为“嘿嘿，这是标头哦”，如果不是则重新连接网络读取，如是将查找到的进程进行判断，看是否是网吧机器，如果是网吧机器则向病毒作者服务器提交数据，如不是网吧机器则将本机的MAC地址提交到病毒作者的服务器，创建注册表项，根据nowlist.dat文件连接网络下载并安装BHO插件，劫持IE浏览器，自动弹出广告，由于病毒作者服务器无法连接所以无法分析其下载的样本数量。

二、“欺骗者”（Trojan/Win32.StartPage.cjh[Clicker]） 威胁级别：★★★★

    该恶意代码文件为恶意广告类木马，病毒运行后创建注册表项，弹出消息框（“检测到您的系统设置与播放器有冲突！请点击桌面高清电影开始激情体验”）的提示，调用iexplore.exe弹出一个广告链接网址，遍历C:\Documents and Settings\a\「开始」菜单\程序目录下是否存在*.url、*.lnk文件，如有则删除，创建一个Internet Explorer快捷方式到该目录下修改目标位置为："C:\Program Files\Internet Explorer\IEXPLORE.EXE" http://www.74***.com/?zzp使其打开时自动访问指定的广告页面，创建多个*.url、*.lnk文件快捷方式到桌面，添加多个广告网址到IE浏览器的收藏夹内，修改注册表隐藏桌面Internet Explorer浏览器的右键菜单项，修改360安全浏览器的配置文件，使其网络连接地址指向病毒指定的广告网址，试图创建修改%Documents and Settings%\a\Application Data\文件夹内的火狐浏览器、TT浏览器的配置文件，使主页默认为病毒指定的广告地址，创建多个.ico文件图标到%System32%目录下，使病毒在桌面的.lnk文件显示指定的图标，修改注册表项创建3个.lnk文件到桌面使其无法正常删除。

安天反病毒工程师建议