病毒周报(071105至071111)

动物家园计算机安全咨询中心（ [url]www.kingzoo.com[/url] ）反病毒斗士报牵手广州市计算机信息网络安全协会（ [url]www.cinsa.cn[/url] ）发布：

本周重点关注病毒：

“色情终结者”（VBS.DNAOrder.aa.35780）  威胁级别：★★
   
　　此病毒通过U盘等储存器和网络传播。病毒运行后，在 %SystemRoot%\ 目录和 %SystemRoot%\System32\ 目录下生成以当前用户名命名的vbs脚本文件和ini文件，还会在各磁盘根目录下生成同样的vbs脚本文件和，autorun.inf文件。这些vbs文件都是病毒的复制品，病毒将其设置为当用户双击打开盘符或点右键选择资源管理器时运行。同时病毒将自己设置为txt, hlp, chm, reg等类型文件的关联程序，当用户双击打开这些类型的文件时，都会执行病毒程序。
      病毒还会修改注册表，实现随系统自启动。并将隐藏文件和受保护的操作系统文件锁定为无法显示。这样一来，用户便无法发现它。而为了对付安全软件，病毒运行后会搜索是否有打开的任务管理器、注册表编辑器、msconfig启动组清理、命令行提示符、瑞士军刀注册表修复工具、360安全卫士，如果有，就将它们强行关闭。
       随后，病毒开始感染用户电脑上的所有正常的vbs脚本文件，以及以hta, htm, html, asp为扩展名的网页文件。有时会弹出消息框, 内容为“您已有超过2000个文件被感染!不过请放心，此病毒很容易被清除!请联系418465***-_- !”。
      值得关注的是，在该发作过程中，此病毒会搜索各磁盘里的avi, mpg, rm, rmvb格式视频文件，如发现其文件名与色情有关，便会将它们删除。

“系统杀软大杀器16846”（VBS.DNAOrder3.aa.16846）  威胁级别：★★

     这是一个脚本病毒，其本身是一段恶意代码，躲藏在一些网站的页面中。当用户登录这些网页时，病毒便被下载到本地机器上。它会将一段名称很长的脚本文件{HCQ9D-TVCWX-X9QRG-J4B2Y-GR2TT-CM3HY-26VYW-6JRYC-X66GX-JVY2D}.vbs和OK.ini文件复制到系统盘的windows文件夹目录下，同时在所有磁盘的根目录下创建病毒文件和autorun.inf文件，并将这些文件的属性设置为系统隐藏文件。如果用户双击打开这些磁盘，病毒程序就会开始运行。
    病毒将之前生成的vbs文件加入注册表的自启项，实现自启动。它还会修改注册表，将脚本执行的超时时间设置为无穷大，这样它便能一直运行。
    病毒运行后，会禁用资源管理器的“显示隐藏文件”，降低系统安全级别，还会打开驱动器的自动运行选项，以便扩大自己的传播范围。病毒通过遍历文件的方式搜索磁盘中“hta”,“htm” , “html” , “asp”，“vbs”，“mpg”, “rmvb”, “avi”, “rm”等格式的文件进行感染。如果感染的是vbs脚本，再次发作时就直接运行，感染更多的系统文件。否则只执行侵入系统的一些操作。该病毒还会搜索系统中是否有瑞星卡卡、系统修复工程师、实完美卸载V2007、任务管理器、注册编辑器、系统配置管理等安全软件和系统自带的程序。如果有这些进程，则关闭之，并重新对系统进行感染。而且，此病毒具有自动更新的功能，如果发现系统中已有的版本比当前病毒版本低，则会删除原来的文件，更新到当前的病毒版本。

"老人参"(Win32.Troj.Dropper.ex.4232192)   威胁级别：★★

    该病毒运行后，会在系统的临时文件夹(%temp%)下生成start.exe病毒文件，并且会在%system32%下生成laorenshen.exe病毒文件。该病毒会修改注册表HKEY_CLASSES_ROOT下众多键值，通过修改键值来改变其关联方式。该病毒修改以下文件格式.mp3、.RM、.DAT、.AVI、.TXT、.COM、.ZIP、.RAR、.REG、.DLL、.BAT、.SYS、.INI、.LOG、.BIN、.DOC的关联方式，将其关联方式修改为病毒文件Laorenshen.exe，并且会把被修改过的文件改变其图标，只要用户点击以上文件格式的文件，将会触发Laorenshen.exe病毒文件。这样，被感染的文件已经无法使用，且会弹出一个消息框，其内容为:"我叫‘垃圾参’，是‘人参’的新品种，有很高的营养价值和医用价值，特别适合爱美的女性朋友，听说，俺还预防‘非典’哪！"。同时释放的还有FoxPro主程序文件，病毒运行时会同时运行此程序，如果用户机子有安装FoxPro时，会打开FoxPro。浏览器的主页被修改为："hxxp://www.m**f.com/"。该病毒会给用户的系统带来极大的危害。

“魔域跑跑木马53248”(Win32.Troj.OnlineGames.ey.53248)  威胁级别：★★

   这是一个典型的游戏盗号木马，针对网络游戏《魔域》和《跑跑卡丁车》制造。木马运行后，先在%windir%目录和%systemdir%目录下分别释放出GenProtect.exe与GenProtect.dll文件。然后修改注册表，将GenProtect.exe项加入启动项，这样在以后每次系统启动时，它也会随之启动。
　接下来，木马将GenProtect.dll注入到explorer.exe进程，窥视系统中的《魔域》游戏进程soul.exe和《跑跑卡丁车》游戏窗口(ZElementClient Window)，如果发现它们，则立刻注入到其中盗取信息，并通过URL发送到 [url]http://www.[/url]*****999.com/myqqq/shou.asp和 [url]http://www.[/url]****10.com/moyu1122/shou.asp地址。在监视帐号信息的同时，GenProtect.dll还会监视卡巴斯基安全软件的警告框(AVP.AlertDialog)，当发现卡巴斯基试图弹出的警告框提醒用户时，便立刻关闭该警告框，使用户无法知道病毒已经运行起来，因此用户的系统安全性将大大降低，最终导致用户的网络虚拟财产遭受损失的可能。

动物家园计算机安全咨询中心反病毒工程师建议：

   1、从其他网站下载的软件或者文件，打开前一定要注意检查下是否带有病毒。
  
   2、别轻易打开陌生人邮件及邮件附件、连接等。

   3、用户应该及时下载微软公布的最新补丁，来避免病毒利用漏洞袭击用户的电脑。

   4、尽量把系统帐号密码设置强壮点，勿用空密码或者过于简单。

   5、发现异常情况，请立即更新你的反病毒软件进行全盘查杀或者登陆bbs.kingzoo.com(安全咨询中心)咨询