Trojan/Axela

18432位元組，19968位元組，17920位元組

近期，江民反病毒中心收到大量用戶反應，在用QQ聊天時會收到類似“點擊下面網址可以下載某某電子書”的訊息，一旦點擊了訊息中提到的網址立即中毒。造成大批用戶中毒的元兇是Trojan/Axela木馬病毒的多個變種。江民僅在最近一個星期就截獲了4個最新變種Trojan/Axela.b，Trojan/Axela.c，Trojan/Axela.d和Trojan/Axela.e，關於它們的技術分析如下：

1. 病毒程式運行後，將自身複製2份到%Windir%\System目錄下，檔案名稱分別為Noteped.exe和Taskmgr.exe，這2個檔案都是隱含的。

Trojan/Axela.d和Trojan/Axela.e的圖示與之前的版本有所不同，並多生成一個windll.dll檔案。windll.dll檔案中包含一些侮辱性的文字。

2. 在註冊表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下添加啟動項：

“taskmgr” = “%Windir%\system\taskmgr.exe”

偽裝成任務管理器程式，這樣系統啟動時，病毒即得以運行。

3. 修改TXT檔案的關聯HKEY_CLASSES_ROOT\txtfile\shell\open\command，

“默認”= “NOTEPED.EXE %1”

這樣，在打開任何文本檔案時，都會觸發病毒再次運行。

4. 修改IE默認主頁項

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page

5. 通過QQ聊天軟體自動向用戶的好友傳送含有病毒網址的訊息。病毒網頁上有一個flash檔案，會自動下載病毒程式。

具有迷惑性的是，病毒傳送的訊息中包含目標用戶的QQ暱稱，企圖降低用戶的警惕，這也是造成該病毒近期泛濫的原因之一。

針對該病毒的所有變種，江民公司都已經在第一時間截獲並升級了病毒庫。請您在收到符合上文描述的QQ訊息時，千萬不要點擊訊息中的網址，並及時病毒庫，即可全面查殺該病毒的所有變種，保護您的系統不受其侵害。