病毒周报(100913至100919)

动物家园计算机安全咨询中心（ www.kingzoo.com ）反病毒斗士报：

“间谍木马”（Trojan/Win32.Zbot.anvs[SPY]） 威胁级别：★★

    病毒运行后，复制自身到%System32%目录下，在该目录下衍生多个文件；修改注册表，使衍生的文件伴随userinit.exe启动以及将病毒文件加入到CMD.EXE的调用扩展中；将病毒主体添加到卡巴斯基反病毒软件的信任区域；为卡巴斯基添加新规则开放最大权限；绕过金山反病毒软件的主动防御；病毒运行完毕后删除自身。该病毒会连接网络向外发送本地机器的相关信息、下载病毒的最新版本到IE临时目录并执行，从而盗取或控制用户的计算机。

“代理木马”（Trojan/Win32.Agent.cyse） 威胁级别：★★

    该病毒为木马类，病毒运行后复制自身到系统目录，并重命名，衍生病毒文件，并删除自身。修改注册表，添加服务项，以达到随机启动的目的。删除注册表中的服务项，修改注册表项以关闭错误报告。主动连接网络，更新病毒文件，下载相关病毒文件信息。该病毒通过恶意网站、其它病毒/木马下载传播，可以盗取用户敏感信息。

“修改者木马”（Trojan/Win32.StartPage.bfz[Dropper]） 威胁级别：★★

    该病毒为木马类，病毒运行后遍历进程，查找杀软相关进程并关闭；删除桌面上的IE浏览器图标，创建一个执行指定主页的网站，在系统目录下衍生病毒配置文件，修改host文件屏蔽部分网址导航网站并将其导航到指定页面；修改注册表添加启动项，修改ie浏览器的默认主页；连接指定的网站发送本地用户相关的信息。

“支付宝劫持器”（Trojan/Win32.Banker.ue[Banker]） 威胁级别：★★

    该病毒是一个窃取支付宝和银行账号的木马，EXE病毒文件为易语言所写，病毒运行之后衍生Shells.dll文件到系统目录下，创建2个隐藏CMD.EXE进程，删除队列消息。遍历进程查找CMD.EXE进程，将衍生的Shells.dll病毒文件注入到CMD进程中，注入成功后弹出一个“文件已损坏！”的信息框误导用户以为文件损坏而不怀疑病毒文件，将病毒DLL注入之后调用远程线程执行病毒代码。

动物家园计算机安全咨询中心反病毒工程师建议：

   1、从其他网站下载的软件或者文件，打开前一定要注意检查下是否带有病毒。  
   2、别轻易打开陌生人邮件及邮件附件、连接等。
   3、用户应该及时下载微软公布的最新补丁，来避免病毒利用漏洞袭击用户的电脑。
   4、尽量把系统帐号密码设置强壮点，勿用空密码或者过于简单。
   5、发现异常情况，请立即更新你的反病毒软件进行全盘查杀或者登陆bbs.kingzoo.com(安全咨询中心)咨询