病毒周报(091012至091018)

动物家园计算机安全咨询中心（ www.kingzoo.com ）反病毒斗士报：

“下载者木马bfgy”（Trojan/Win32.Agent.bfgy[Dropper]） 威胁级别：★★

    该病毒为木马类病毒，病毒运行后，创建进程加载病毒DLL文件，添加注册表启动项，创建相应快捷方式文件到桌面，将病毒dll文件注入到Explorer.exe进程中，调用函数连接网络打开一个网址并下载病毒文件保存到%System32%目录下，病毒DLL文件主要行为：当用户双击盘符时会出现该目录存在威胁的提示并询问用户是否下载，当用户选择“是”则会连接网络下载文件，当用户选择“否”则会弹出一个网页模拟本地磁盘，显示存在的威胁数量并提示用户是否下载扫描器，严重影响用户对本地磁盘的正常浏览。

“灰鸽子变种”（Backdoor/Win32.Hupigon.hypj） 威胁级别：★★

    该恶意代码文件为灰鸽子变种木马，病毒运行后遍历%System32%\drivers目录，查找该目录是否存在"klif.sys"文件，创建一个IEXPLORE.EXE进程，读取进程内存为4D5A0400（MZ标志）地址，查询内存地址为1000的位置，动态加载NTDLL.DLL库文件，调用"ZwUnmapViewOfSection"函数获取当前进程映射的基址，将病毒自身00400000处起始长度为1212416字节代码写入到进程内存中，开启线程连接远程IP等待控制者发送控制命令，将自身拷贝到系统目录下，添加病毒服务以服务方式启动病毒文件，病毒运行后删除自身，开启一个calc.exe进程来保护IEXPLORE.EXE。一旦发现该进程被结束，则再次启动IEXPLORE.EXE进程，受感染的用户会被远程桌面监控、远程视频监控、远程文件操作、语音监听等操作。


“魔兽窃贼”（Trojan/Win32.Magania.bwsr[GameThief]）威胁级别：★★

    该恶意代码文件为魔兽世界游戏盗号木马，病毒运行后遍历系统目录查找相同文件名找到后删除文件再衍生相同文件名的病毒文件到Windows字体目录与%System32%目录下，防止多个病毒文件产生的冲突，调用病毒自定义的函数“JUFndB4pARSJ”模块来提升进程权限，添加注册表病毒的CLSID值、HOOK启动项，删除%System32%目录下的verclsid.exe文件，病毒运行完毕后使用CMD命令删除自身文件，试图将病毒DLL注入到所有进程中、安装消息钩子截取用户账号信息，读取游戏Config.wtf配置文件获取用户账户信息后通过URL方式将截取账户信息及截取到的图片发送到作者指定的地址中。

动物家园计算机安全咨询中心反病毒工程师建议：

   1、从其他网站下载的软件或者文件，打开前一定要注意检查下是否带有病毒。
  
   2、别轻易打开陌生人邮件及邮件附件、连接等。

   3、用户应该及时下载微软公布的最新补丁，来避免病毒利用漏洞袭击用户的电脑。

   4、尽量把系统帐号密码设置强壮点，勿用空密码或者过于简单。

   5、发现异常情况，请立即更新你的反病毒软件进行全盘查杀或者登陆bbs.kingzoo.com(安全咨询中心)咨询