2012-02-04来源:金山安全中心
摘要:近日,金山毒霸接到多例用户求助:hosts反复被未知病毒篡改,现象是访问淘宝网会被重定向到119.161.219.52,还会经常自动弹出360浏览器访问地址为http:///tp:1的网页。截止到目前为止,除金山毒霸已可查杀修复,其他主流杀毒软件只能查到hosts被劫持,反复扫描和修复,却只能治标不能
关键词:F119隐形木马 隐形木马 劫持淘宝 淘宝被劫持 打不开淘宝 淘宝打不开 金山毒霸
近日,金山毒霸接到多例用户求助:hosts反复被未知病毒篡改,现象是访问淘宝网会被重定向到119.161.219.52,还会经常自动弹出360浏览器访问地址为http:///tp:1的网页。截止到目前为止,除金山毒霸已可查杀修复,其他主流杀毒软件只能查到hosts被劫持,反复扫描和修复,却只能治标不能治本。
经金山毒霸安全专家分析,这也是非主流病毒,而且相当复古,是宏病毒。我们知道,早在1996年,国内就出现过名为“TaiwanNo.1”的宏病毒。由于该宏病毒藏得很深,不能被轻易发现,金山毒霸将该病毒命名为F119隐形木马。
该宏病毒寄存在Microsoft Office Word 模板的宏中,一旦打开Microsoft Office Word,就会自动执行模板中的宏:添加一行119.161.219.52 www.taobao.com 到hosts文件中;同时复制C:\MSCOMCTL.OCX 为 C:\Program Files\360\360se3\360se.exe ,复制C:\RICHTX32.OCX 为 C:\Program Files\360\360se3\360se.exe。
金山毒霸安全专家李铁军表示,F119隐形木马手法复古宏病毒,但是可轻易躲避杀毒软件查杀,加上微软Office用户量大,一旦感染F119隐形木马,影响用户正常访问淘宝网,反复修复hosts同时给广大用户带来很大困扰。据网络搜索显示,该病毒最早在去年10月份就已经出现。目前,金山毒霸已经升级查杀F119隐形木马,建议需要的用户尽快下载查杀修复。