警惕MSN遭遇僞裝 瀏覽器被惡意修改

根據金山病毒播報中心提示，“警戒干擾者139776”（t.139776）是一個會修改IE瀏覽器安全設置的木馬。它進入系統後，會在後臺啓動IE瀏覽器進程，並修改IE瀏覽器的安全設置，使其它病毒及惡意程序能夠輕鬆地進入用戶系統，進行破壞活動。
 　“刷屏下載器65536”（l.65536），這是一個下載器，該病毒源文件會僞裝成MSN的外觀，容易迷惑用戶，當用戶運行該病毒後，病毒源文件會自刪除，使用戶無法再找回病毒源。病毒運行後會自行下載病毒文件到系統目錄下，自添加病毒啓動項，隨系統的啓動而觸發。當用戶運行文件時，會出現無法打開的狀況，有感染的症狀。
 
　　一、“警戒干擾者139776”（t.139776）  

　　威脅級別：★★

　　病毒順利進入用戶的電腦系統後，將三個病毒文件釋放到系統盤的%windows%system32目錄下，分別爲、，以及。

　　三個病毒文件均有分工，其中的是病毒主程序，它的任務是在用戶無法察覺的情況下，於後臺服務中悄悄啓動IE瀏覽器進程，而兩個DLL文件，其中一個負責修改註冊表啓動項，將病毒主程序的相關信息寫入其中，使病毒以後可以在用戶每次啓動電腦時跟着自動運行起來，另一個則負責注入IE進程，進行破壞活動。

　　 當主程序將IE啓動之後，負責破壞活動的DLL文件就會注入IE進程中，修改IE的安全配置數據，將其安全等級降低。這樣一來，當用戶上網時，其它病毒和惡意程序就很容易進入用戶電腦，給系統造成無法估計的破壞。

　二、“刷屏下載器65536”（l.65536） 

　 威脅級別：★★

　 病毒進入電腦系統後，在系統盤的%windows%system32目錄下釋放出病毒主程序，以及在%windowDownloaded Program Files目錄下釋放出病毒文件。由於其名稱與外觀都與微軟MSN通訊軟件接近，用戶就不易發現它。

　然後，病毒修改註冊表，添加自己的主程序信息到啓動項。這樣，當用戶在重啓機器時，它就會隨着系統的啓動而觸發。當病毒運行起來後，它會破壞系統中已安裝的安全軟件的相關數據，以及篡改大量的系統參數，如果用戶試圖查看啓動項和使用安全軟件時，系統就會突然死機，然後自動刷屏一次。而當病毒的犯罪最爲猖獗之時，不僅僅是安全軟件，所有的可執行文件、網頁文件都會遇到以上麻煩，令用戶無法正常工作。

　該病毒的行爲不僅僅是影響用戶使用電腦，如果用戶注意查看系統盤臨時文件夾的目錄，就會發現已有部分病毒文件被下載到其中，名稱如、、等。原來，病毒之前的破壞行爲，都是爲它能下載其它病毒到用戶系統中所做的鋪墊。當這些病毒文件發作之後，用戶將遭受無法估計的更大損失。