病毒周报(071231至080106)

动物家园计算机安全咨询中心（ [url]www.kingzoo.com[/url] ）反病毒斗士报牵手广州市计算机信息网络安全协会（ [url]www.cinsa.cn[/url] ）发布：

本周重点关注病毒：

“圣诞虫变种22321”（Win32.Hack.PBot.b.22321）  威胁级别：★★

    尽管圣诞节已过，但圣诞虫系列的MSN病毒仍然猖獗。此病毒进入用户系统后，在系统盘的根目录%WINDOWS%下释放出devices.exe和img2007-12.zip这两个病毒文件，随后修改注册表，把自己的相关信息加入其中，达到随系统启动而自动运行之目的。当它成功运行起来后，就会在后台不断监控用户是否有启动MSN聊天工具。
    如果发现启动得有MSN，病毒就悄悄向用户的MSN好友发送一段有关圣诞节的消息，比如“hola, My Christmas picture for you :)”（这是我的圣诞照片，给你），接着，传送一个含有病毒文件的压缩文件包附件，骗取好友接受。
    一旦用户的好友上当，接收了含毒压缩包并进行解压，病毒就会回到以上的步骤，继续传播自己。与此同时，病毒会在中毒用户无法察觉的情况下建立远程连接，将中毒电脑连接到黑客的远程服务器。如果连接被建立，黑客就可对中毒的电脑发送各种远程控制指令，掌握中毒电脑中的资料，并将其变成任由摆布的“肉鸡”。

秒杀封印师”（Win32.TrojDownloader.Agent.20804）  威胁级别：★★

    病毒潜入用户的电脑系统后，在系统盘的%windows%\system32\目录下生成三个病毒文件，分别为((ppp).exe、.exe、meex.com。同时，病毒修改系统注册表，添加自己的信息到启动项中，这样以后系统启动时，它就能随之启动。随后病毒立即创建映像劫持，劫持包括众多著名杀软和安全辅助工具在内的全部EXE可执行文件，使用户无法打开和使用这些软件。安全软件全部瘫痪后，会为其它恶意程序提供以可乘之机。
    遭遇这种情况，一些用户可能会想上网寻求解决办法，但当大家打开IE浏览器时，会弹出对话框，显示“配额不足，无法处理此命令”的提示。原来这时，病毒已经在电脑中处于“狂暴”状态了。它在眨眼之间把所有EXE后缀的文件全部破坏并隐藏起来，导致用户无法打开和找到这些文件。想点击桌面上其它的快捷方式吗？它们现在只是一个单纯的图标罢了。看似正常的系统，其实已是一个空壳，整个系统处于废机状态(所谓废机是指系统等于是废物，无法使用了)。
    系统病入膏肓后，病毒会逐渐侵蚀整个系统，当所有的程序消失，磁盘中唯一可以查看到的只剩一堆AUTO病毒，如果用户在中毒计算机上使用U盘等移动存储器，病毒就会立刻将其感染，扩大自己的破坏范围。

“HotBar小广告634880”（Win32.Adware.HotBar.an.634880）  威胁级别：★

    此病毒为一款浏览器帮助插件的组成模块，该插件具有美化浏览器和提供天气预报等的功能，但由于利用此模块收集用户隐私及弹出商业广告，且无法删除，因此沦为“流氓广告”范畴。
    该插件在系统中被安装后，会修改注册表，将自己注册为浏览器辅助插件，以便在系统启动后自动加载，同时修改IE浏览器的数据设置，让自己显示在IE的工具栏中。这些动作尚属辅助插件的正常行为，但当它在用户系统中站稳脚跟后，却会露出完全不同的嘴脸。
    病毒在完全不告知用户的情况下，展开对IE浏览器的监视，窥探用户浏览过的所有链接，以及用户曾经搜索过的关键字。然后，它就悄悄把这些数据发送给 [url]http://www.ho[/url]**ar.com这个远程服务器。远程服务器收到数据后进行分析，并向用户电脑发出指令，修改显示在工具条中的按钮，同时弹出对应的广告网站，诱使用户点击，为这些网站赚取流量。

动物家园计算机安全咨询中心反病毒工程师建议：

   1、从其他网站下载的软件或者文件，打开前一定要注意检查下是否带有病毒。
  
   2、别轻易打开陌生人邮件及邮件附件、连接等。

   3、用户应该及时下载微软公布的最新补丁，来避免病毒利用漏洞袭击用户的电脑。

   4、尽量把系统帐号密码设置强壮点，勿用空密码或者过于简单。

   5、发现异常情况，请立即更新你的反病毒软件进行全盘查杀或者登陆bbs.kingzoo.com(安全咨询中心)咨询