假冒360安全卫士的变种鸽子下载器192512

病毒名称：Win32.TrojDownloader.Agent.192512

中文名称：变种鸽子下载器192512

病毒类型：木马下载器

病毒目的：下载其他病毒

系统中隐藏了360模块

几天前我电脑中的杀毒软件无法升级了，想登录到杀毒软件官方论坛咨询一下解决方案，结果发现论坛无法登录。不得已，我请朋友帮我检测，他在系统的svchost.exe进程中发现了“360安全卫士文件粉碎”模块，但是我并没有安装360安全卫士，请问我的电脑是不是中毒了？

假冒360安全卫士

最近一段时间奇虎360炒的很热，于是我——变种鸽子下载器192512，也打起了360的主意，伪装成360卫士搞鬼。

进入系统后，我先释放病毒文件到系统中的system32目录下，包括Kernel32.exe、VVinHe1p.exe、VVinHe1p.dll、VVinHe1p.ocx和VVinHe1p.zip五个文件。其中VVinHe1p.dll和VVinHe1p.zip是病毒的主文件，用于破坏杀毒软件以及下载病毒。另外，我还会在临时目录下加入manifest.txt和sysdata.xml两个文件，里面保存有多种病毒的下载地址信息。

接着修改注册表并添加一个启动服务，这样就能在开机后加载病毒文件VVinHe1p.exe。然后VVinHe1p.exe再将病毒文件VVinHe1p.dll和VVinHe1p.zip插入svchost.exe进程，并且伪装成奇虎公司的360安全卫士。这样用户一看以为是360安全卫士的模块，根本就不会联想到病毒文件上去，这样我就可以一直隐藏下去了。

最后我通过匹配文件名的方式删除杀毒软件的升级程序，以便阻止用户更新病毒库来进行自我防护。然后以360安全卫士之名，通过修改HOSTS文件的方式劫持杀毒软件以及安全工具的域名，从而屏蔽用户向各杀毒软件厂商求助。

删除HOSTS中恶意信息

假的真不了！仔细检测就可以发现伪装成安全工具的病毒。下面我就教大家如何清除该病毒。

第一步：打开记事本输入病毒文件的路径并保存，病毒文件路径分别是：

%Systemroot%\system32\Kernel32.exe、
%Systemroot%\system32\VVinHe1p.exe、
%Systemroot%\system32\VVinHe1p.dll、
%Systemroot%\system32\VVinHe1p.ocx、
%Systemroot%\system32\VVinHe1p.zip。

接着运行金山毒霸文件删除工具，点击“从文件导入”按钮选择保存有病毒路径的记事本，最后点击“删除”按钮即可彻底删除病毒文件。清除完成以后，按照程序的提示重新启动系统。

第二步：运行系统修复SREng工具，点击“系统修复”中的“HOSTS文件”标签，将标注为“以下内容为360安全卫士 为免疫360安全卫士 所添加”中的所有内容全部选中，然后点击“删除”按钮清除恶意信息。

第三步：最后重新安装杀毒软件并升级病毒库到最新版本，再进行全面扫描和查杀，将病毒残留物彻底清除干净。