病毒周报(080114至080120)

动物家园计算机安全咨询中心（ [url]www.kingzoo.com[/url] ）反病毒斗士报牵手广州市计算机信息网络安全协会（ [url]www.cinsa.cn[/url] ）发布：

本周重点关注病毒：

“海量下载者20992”（Worm.Troj.Wogue.ax.20992）  威胁级别：★★

    病毒进入用电脑系统后，会立即在系统盘的%WINDOWS%目录、%WINDOWS%\system32\目录，以及%WINDOWS%\Fonts\目录下释放出海量病毒文件。其中大部分的EXE格式文件在WINDOWS文件夹下，而DLL格式文件大多在SYSTEM32文件夹下。随后，病毒修改注册表启动项，把这些病毒文件的相关数据加入其中，使自己可以在用户每次启动电脑时跟着自动运行起来。
    如果成功运行起来，病毒会迅速将系统时间修改为“2001”年，使依赖系统时间进行激活和升级的软件全部失效，这里面当然也包括了一些安全软件。失去安全软件保护的电脑系统，将随时面临外部恶意程序的入侵。
    接着，病毒会自动创建一个无效的MSN向导，骗取用户输入帐号和密码。同时，它在用户无法知晓的情况下建立远程连接，下载数量极多的木马病毒，在这些木马病毒中，大部分具有盗号功能。如果用户使用毒霸的“隐蔽软件扫描”功能，瞬间可扫描出数十种针对《大话西游》、《传奇》、“QQ”等热门网游及软件的盗号木马。
    病毒发作的期间，外部病毒源源不断地进入用户系统。刚开始，除盗号外，别的症状都不明显。但随着进来的病毒种类越来越多，用户的系统安全终将遭到无法估计的更大威胁。

“磁碟机变种204808”（Win32.VcingT.ph.204808）  威胁级别：★★

    病毒进入用户的电脑系统后，会在系统盘中释放出7个病毒文件，分别为%WINDOWS%\system32\Com\目录下的lsass.exe、smss.exe、netcfg.dll、netcfg.000，c:\WINDOWS\system32\目录下的dnsq.dll，c:\WINDOWS\system32\drivers\目录下的alg.exe，以及系统盘根目录下的037589.log。此外，病毒还会在所有磁盘分区中，生成AUTO病毒autorun.inf和相应的pagefile.pif病毒文件，只要用户用鼠标左键双击含毒磁盘分区，病毒就会再次被激活。如果用户在中毒电脑上使用U盘等移动存储器，病毒也会立即将其传染，借以扩大自己的传播范围。
    随后，病毒篡改系统相关数据，将自己添加到系统盘“%Documents and Settings%\All Users\「开始」菜单\程序\启动\~.exe.xxxxxx”路径下，进行自启动(xxxxxx为随机数字)。然后，它迅速破坏电脑中已安装的安全软件的运行，几乎所有著名厂商的产品都在该病毒的“黑名单”中。
    病毒运行后，大量感染所有非系统盘分区下的exe文件，连rar、zip压缩包内的exe文件也不放过。同时它还感染htm、html等格式的网页文件，添加挂马代码。如果电脑已连接网络，病毒就会先访问 [url]http://w.XXX.com/r.htm[/url]这个由黑客指定的地址，获取一个病毒文件列表，然后利用IE浏览器悄悄下载上述列表中的的病毒。被下载的病毒毒中，有盗号木马、ARP欺骗病毒等，它们会给用户的系统安全、个人隐私、虚拟财产造成无法估计的更大破坏。并且，其中的ARP病毒会立即展开对局域网内其它电脑的攻击，造成局域网瘫痪。
    被该病毒感染的文件体积会有所增大，并且只要启动这些文件，病毒就会被激活发作，同时造成部分受感染文件的损坏。不过使用毒霸就可修复绝大多数被感染的文件。

“ AUTO病毒126976”（Worm.Autoruns.m.126976）  威胁级别：★★

    病毒进入系统后，在系统盘的%WINDOWS%\system32\目录以及%WINDOWS%\system32\config\systemprofile\Local Settings\Temporary Internet
Files\Content.IE5\目录下生成大量病毒文件夹和病毒文件。然后就修改注册表，把自己的相关数据添加到服务项中，以便以后每次都能在用户启动电脑时跟着自动跑起来。
    如果该病毒得以成功运行，就会立即修改当前系统时间为“2005”年，使卡巴斯基等依赖系统时间来激活和更新的安全软件全部失效。与此同时，病毒在各磁盘分区中生成AUTO病毒，分别是auto.exe和autorun.inf辅助文件。如果用户双击有该AUTO病毒的盘符时，即会触发病毒，建议用户使用右键打开藏有AUTO病毒的盘。
    此病毒还针对毒霸设计得有感染“隐蔽软件扫描程序”功能的能力，如果用户试图使用该功能，就会弹出众多伪装成毒霸网页的病毒网页，并且显示空白内容。病毒还会禁止用户登录真正的网站，不管用户打开怎样的网页，都会在很短的时间内被强行关闭。
    同时，病毒悄悄建立远程连接，下载许多的盗号木马和隐蔽软件。随着弹出窗口和下载病毒的速度越来越快、数量越来越多，系统资源将被严重占用，电脑运行速度会变得奇慢无比。一旦下载的木马和隐蔽软件运行起来，用户系统将受到无法估计的更大破坏。

动物家园计算机安全咨询中心反病毒工程师建议：

   1、从其他网站下载的软件或者文件，打开前一定要注意检查下是否带有病毒。
  
   2、别轻易打开陌生人邮件及邮件附件、连接等。

   3、用户应该及时下载微软公布的最新补丁，来避免病毒利用漏洞袭击用户的电脑。

   4、尽量把系统帐号密码设置强壮点，勿用空密码或者过于简单。

   5、发现异常情况，请立即更新你的反病毒软件进行全盘查杀或者登陆bbs.kingzoo.com(安全咨询中心)咨询