正在阅读：金山毒霸5月安全报告:挂马减少威胁未减金山毒霸5月安全报告:挂马减少威胁未减

　　（1）Win32.Troj.FakeFolderT.yl.1407388（文件夹模仿者）

　　展开描述： 模仿文件夹图标，欺骗用户点击

　　卡巴命名： P2P-Worm.Win32.Agent.ta、Trojan-Dropper.Win32.Flystud.ko

　　瑞星命名： Trojan.Win32.ECode.ee\n、orm.Win32.Agent.aaq\n

　　NOD32命名： virus.Win32.Small.L、Worm.Win32.AutoRun.FlyStudio.GS

　　麦咖啡命名： W32.Madangel.b virus、W32.Fujacks.aw virus

　　非常值得注意的情况，四月份感染量最大的病毒Win32.Troj.FakeFolderT.yl.1407388（文件夹模仿者），在五月依然保持着它的排名。

　　此毒是一个U盘病毒，它将自己的图标伪装成系统文件夹的样子，用户在U盘中看到一个陌生文件夹时，多半都会去点击。如此一来，即使用户禁止了U盘自动播放，该毒依然能够实现运行。运行后，此毒会下载一些别的恶意程序，执行多种破坏行为。

　　此外，有一些脚本挂马也会帮助该毒传播，一旦它们利用系统安全漏洞攻入电脑，就会立即下载包括“文件夹模仿者”在内的其它恶意程序。

　　根据变种的不同，此毒会呈现多种症状，其中比较明显的一种，是用户系统中的文件夹全部变为病毒的EXE文件，用户必须点击病毒文件才可进入文件夹。这使得病毒得以多次运行，如果该变种所携带的执行模块是广告插件，那么就会尽可能多的弹出广告网页。

　　阻止此毒进入系统的最佳办法，是打齐系统补丁并安装金山安全实验室的“网盾”，该工具目前由数十万人参与测试，稳定性不断增强，可100%拦截包括0day漏洞在内的所有漏洞利用代码，粉碎黑客的挂马攻击意图。

　　（2）Win32.troj.fakefoldert.yo.1406378（文件夹模仿者变种）

　　展开描述： 模仿文件夹图标，欺骗用户点击

　　卡巴命名： Trojan-Dropper.Win32.Flystud.ko、Virus.BAT.Agent.af

　　瑞星命名：Trojan.Win32.ECode.ee\n、Trojan.Win32.ECode.ee\n

　　NOD32命名：Trojan.Win32.FlyStudio.NJS、Worm.Win32.AutoRun.FlyStudio.FQ

　　麦咖啡命名： W32.Autorun.worm.dq virus、W32.Autorun.worm.ev virus

　　此毒为Win32.Troj.FakeFolderT.yl.1407388（文件夹模仿者）的一款变种，其感染量在五月出现大幅增长，最终与前者共同位居感染量排行榜前列，具体的破坏行为也完全一致。此变种挺进感染量TOP10，标志着利用U盘传播的文件夹病毒已经取代传统盗号木马，成为广大电脑用户近期将要面临的最大威胁。

　　（3）Win32.troj.killav.121352（宝马下载器变种）

　　展开描述： 变种数量大，频繁免杀，下载恶意程序

　　卡巴命名： Trojan.Win32.AntiAV.bck、Trojan.Win32.AntiAV.bcy

　　瑞星命名： Trojan.DL.Win32.Mnless.daq\n

　　NOD32命名： Trojan.Win32.AntiAV.NAA

　　如果要说有什么病毒是“文件夹模仿者”最强的竞争对手，肯定非“宝马”莫属。该毒具备有对抗杀毒软件的能力，会采用多种方式尝试中止杀软进程或禁止杀软的服务，甚至还会释放驱动来用于穿透系统还原保护和某些杀软的“主动防御”。随后下载各种恶意程序到电脑上执行，比如盗号木马或广告插件。

　　早在4月份时，依靠网页挂马为主要传播手段的宝马下载器在感染量TOP10中就占据了两项排名，分别是第6名和第9名。而在5月份，宝马下载器依靠另外两款变种，将自己的排名上升至第3名和第7名。

　　这表明，尽管面临刑法新条例的严厉打击，病毒团伙还是不愿意轻易放弃传统的木马传播手段。一些比较小的病毒团伙可能会无法生存下去，但像“宝马”这样成熟的大鳄，绝不会轻易退出舞台。

　　毒霸可拦截该毒和它所下载的盗号木马，如果发现自己电脑上频繁出现此毒，并非该毒“杀不掉”，而是表明有别的未知下载器不断的将其“复活”，毒霸安全专家已经在多款其它的下载器中，发现了“宝马”的身影，这些充分说明在挂马传播日益难做的情况下，病毒团伙之间的“互助”日趋紧密。而对于这种情况，只需下载安装金山安全实验室的“系统急救箱”，就可解决问题。

　　（4）Win32.troj.sysjunk2.ak.196608 （干扰弹AK）

　　展开描述：干扰反病毒工作者，阻止查杀

　　瑞星命名：RootKit.Win32.Undef.bzl\n

　　在上四月的安全月报中已经上榜的“干扰弹AK”，5月份依然在用户频繁露脸。

　　“干扰弹AK”（win32.troj.sysjunk2.ak.196608），是个“加花指令”。

　　所谓的“加花”，是指这种病毒文件本身不会对系统有什么危害，但它包含的大量的垃圾数据，可用来来干扰反病毒人员的分析工作。如果杀毒软件厂商的反病毒工程师技术不强，就有可能无法处理此毒。

　　（5）Win32.troj.cfgt.ex.38507（CFG网游盗号器变种）

　　展开描述：依靠网页挂马传播，盗窃网游帐号

　　卡巴命名：Trojan-GameThief.Win32.Magania.Bdax、Trojan-PSW.Win32.LdPinch.afvu

　　瑞星命名：Trojan.PSW.Win32.GameOL.zql\n、Trojan.PSW.Win32.XYOnline.alv\n

　　NOD32命名：Trojan.Win32.PSW.OnLineGames.NRD

　　“CFG网游盗号器变种”（win32.troj.cfgt.ex.38507）主要依靠网页挂马传播，它能盗取多款流行网游的账号和木马。如果用户系统中存在安全漏洞，就很容易受到脚本下载器的攻击。然后脚本下载器就会直接下载此毒，或者先下载一个类似宝马下载器这样的普通下载器，再下载此盗号木马。

　　打齐系统补丁是防御此毒的最好办法，只要堵住系统中的安全漏洞，感染“CFG网游盗号器变种”（win32.troj.cfgt.ex.38507）的几率就会大大减小。

　　如果毒霸频繁提示发现此毒，表明系统中很可能存在未知的下载器，造成每次删除后又再次下载。这种情况不用慌，只需安装并运行金山安全实验室免费提供的“系统急救箱”，对未知下载器进行灭活，即可解决问题。