动物家园计算机安全咨询中心( [url]www.kingzoo.com[/url] )反病毒斗士报牵手广州市计算机信息网络安全协会( [url]www.cinsa.cn[/url] )发布:

本周重点关注病毒:

“磁碟机变种102400”(Worm.VcingT.w.102400)  威胁级别:★★

     病毒进入系统后,在系统盘目录下释放一个 NetApi00.sys 病毒文件,并创建服务加载它。从而修改注册表破坏文件夹选项的隐藏属性修改,使隐藏的文件无法被显示,并造成安全模式被破坏。它还会反复改写注册表,破坏安全模式和杀毒软件和主动防御的服务,使很多主动防御软件和实时监控无法再被开启。
    病毒通过修改系统默认加载的DLL 列表项来实现DLL 注入,并在注入后设置全局监视,然后通过远程进程注入来查找窗口标题的关键字,以判断用户是否有使用安全软件。
    找到带有关键字的窗口后,就往目标窗口发送大量的垃圾消息,使其无法处理而进入假死的状态,当目标窗口接受到退出、销毁和WM_ENDSESSION 消息就会异常退出。由于病毒自带的关键词库较为庞大,几乎所有市面上已有的安全软件都会被它解决掉。
    应该说,通过查找窗口标题来关闭杀毒软件的方法没有什么创新,从AV终结者之后,不少病毒都会通过这种方法来对抗杀软。但此病毒内带的安全产品关键字,变得更短,使一些名字相近的进程或窗口也被关闭。
    当所有的安全软件全被缴械后,病毒就开启远程连接,疯狂下载大量其它恶意程序到用户电脑中运行。由于下载量很大,并且这些恶意程序大部分为盗号***,用户的系统资源会迅速占用。电脑变得奇慢无比,最后“一死了之”。
    值得注意的是,此病毒除破坏已有安全软件的防护外,它也具有一套“主动防御机制”。倘若检测到自己的病毒进程被关闭,它就会立即又启动病毒进程,若某些安全工具(比如安全厂商临时开发的专杀)阻止了它启动进程,病毒就立刻切断电源,重启系统!如果你发现自己的电脑中突然出现大量***,并且使用升级后的安全软件也无法正常开机,那很有可能就是中了此毒。

“绝望播种机”(Win32.TrojDownloader.Agent.bl.139378)  威胁级别:★★

    这个下载器给你的系统带来的威胁,在于它会破坏几乎一切可用于查杀它的系统服务和工具,并劫持目前市场上知名度较高的安全软件。它一旦成功潜入用户的系统,就会在系统盘下释放出三个病毒文件,分别是%Program Files%目录下的meex.exe,以及%Program Files%\Common File\System\目录和%Program Files%\Common Files\Microsoft Shared\目录下的“.exe”。请注意,这个“.exe”是没有名称的。
    接下来,病毒首先会抢先查找并劫持用户电脑中已安装的安全软件,在这个过程中,几乎所有你听说过的安全软件都会被“解除武装”。然后,开始疯狂地修改注册表,除将自己写入启动项外,还进行以下动作:
    1、删除注册表安全模式的有关信息,当开机时不能启动安全模式
    2、改变注册表值使隐藏文件不可见,达到病毒体隐藏目的
    3、禁用此计算机上的帮助与支持中心服务
    4、禁用网络地址转换、寻址、名称解析、和***保护服务
    5、禁用监视系统安全设置和配置服务
    6、禁用下载和安装Windows更新服务
    完成这一系列的动作后,对绝大多数用户而言,他们将失去查杀该毒的机会,唯有“重装”可选。而为了扩大自己的传染范围,病毒还在各个驱动器下创建AUTO病毒文件.exe和autorun.inf,只要用户在中毒电脑上使用U盘移动存储设备,病毒就会立即传染上去,随着U盘转移到其它正常电脑上。
    在扫清自己犯罪的全部障碍后,病毒开始干它的本职工作:下载其它***到中毒电脑上运行。因为用户已经失去任何抵抗能力,即便是个很古老的盗号***,也可以顺利盗取到它想要的信息,给用户带来无法想像的损失和麻烦。

“黑冰变种212992”(Win32.BlackIce.zm)  威胁级别:★★

    病毒在进入系统后,会释放出一个名为“blackice.exe”的病毒文件。这是一个***文件,它被隐藏在系统盘的%WINDOWS%system32\路径下,并随后修改注册表启动项,使自己可以随系统自动运行。
    接着,该毒搜索系统中是否安装得有网络游戏的客户端程序,如果发现,便感染它们。被感染后的文件体积会增大,习惯手动查杀病毒的用户,利用PE工具查看可以看到文件被多加了一个叫“blackice”的节,并且入口也在新加的节中,还可以看到一个名称是8005的资源。
    如果用户不小心运行了被感染的程序文件,病毒就能被激活。它会在用户系统的临时目录“Documents and Settings\User\Local Settings\Temp”下释放一个名为“bk_XX.tmp”的***文件和正常文件,然后调用正常文件运行,让用户难以察觉异常。需注意的是,“bk_XX.tmp”中XX为一个不确定的数,会按现有名称递增。

“AUTO病毒15598”(Win32.Troj.AutoRunT.ad.15598)  威胁级别:★

      此病毒进入系统后,在%WINDOWS%\system32\目录下释放出一个隐藏属性的病毒文件Dser.exe ,为防止用户恢复文件显示模式后发现该文件,病毒还将这个文件伪装成“系统”文件,试图迷惑用户。
    接着,它判断系统盘%WINDOWS%\system32\drivers\目录下是否有 klif.sys 这个文件。这个文件其实是杀毒软件卡巴斯基的一部分,如果病毒找到这个文件,就会修改当前系统时间为 1981-01-12 ,令依赖系统时间进行升级和激活的卡巴斯基失效。
    病毒继续运行。它创建线程,查找窗口标题名为“IE 执行保护”、“IE执行保护”、“瑞星卡卡上网安全助手 - IE防漏墙”的窗口。如发现,则向其发送鼠标消息,模拟用户点击鼠标发出的命令,将其关闭。以阻止用户获知系统中的异常。
    在病毒运行的后期,它在后台悄悄连接http:/ /www.8**ao***mm.bj.cn 这个由***种植者指定的地址,下载一批名称为 123.exe 至 128.exe 编号的***文件,给用户的系统安全引来更多无法估计的威胁。
    此外,为扩大传染范围,病毒在电脑的每个磁盘分区下都创建AUTO病毒文件 autorun.inf 和 Dser.exe,只要用户双击磁盘或在中毒电脑上使用U盘等移动存储设备,病毒就会被再次激活,搜寻所有磁盘进行感染。

动物家园计算机安全咨询中心反病毒工程师建议:

   1、从其他网站下载的软件或者文件,打开前一定要注意检查下是否带有病毒。
  
   2、别轻易打开陌生人邮件及邮件附件、连接等。

   3、用户应该及时下载微软公布的最新补丁,来避免病毒利用漏洞袭击用户的电脑。

   4、尽量把系统帐号密码设置强壮点,勿用空密码或者过于简单。

   5、发现异常情况,请立即更新你的反病毒软件进行全盘查杀或者登陆bbs.kingzoo.com(安全咨询中心)咨询