病毒周报(080225至080302)

动物家园计算机安全咨询中心（ [url]www.kingzoo.com[/url] ）反病毒斗士报牵手广州市计算机信息网络安全协会（ [url]www.cinsa.cn[/url] ）发布：

本周重点关注病毒：

“AUTO下载者135168”（Win32.Troj.DownloaderT.bb.135168）  威胁级别：★★

    病毒顺利进入用户的电脑系统后，首先会在系统盘中释放出四个病毒文件，分别为%ProgramFiles%\common files\目录下的m1.exe、m2.exe、m3.exe，以及%windows%\system32\目录下的wincom.exe，这些文件中的任何一个被成功释放，病毒都能运行起来。
    文件释放结束，病毒立即开始运行。它在用户无法察觉的情况下启动IE浏览器的进程，创建远线程，从木马种植者指定的地址 [url]http://ee.[/url]*v**av.com下载完整的自身程序到本地运行。如果用户注意检查系统盘中的%ProgramFiles%\common files\目录，就会看到名为m1.exe、m2.exe、m3.exe的病毒文件已被下载。
    同时，该木马程序还会感染本机和局域网内其它电脑中的exe和scr格式的文件，被感染后的文件运行后，会再次从 [url]http://ee.[/url]*v**av.com下载感染源。
    另外木马程序还会查找已连接到中毒电脑上的U盘等移动存储设备，若查找到则会在移动设备生成autorun.inf文件和autorun.vbs文件，同时将自己以“autorun.exe”的命名拷贝到移动存储设备根目录中，利用移动存储器来扩大自己的传播范围。

“覆盖式下载器”（Win32.Troj.Agent.tr）  威胁级别：★★

    病毒在进入用户系统之后，会首先将conime.exe、internat.exe、ctfmon.exe这三个病毒文件释放到系统盘的%WINDOWS%\system32\dllcache\目录下，并且覆盖感染系统桌面进程的文件explorer.exe。这样，只要用户启动电脑，病毒就能够随着explorer.exe的运行而跟着跑起来。
    一旦病毒开始运行，它会查找当前系统中是否安装有杀毒软件“卡巴斯基”，如有，则修改系统时间为2001年导致卡巴失效，同时创建线程搜索并强行中止安全辅助软件“360安全卫士”的进程，对于“Windows文件保护”的警告窗口，它也会将其隐藏，不让用户知道系统正受到破坏。
    当解除掉用户电脑的防御，该病毒就悄悄建立远程连接，从木马种植者制定的网址 [url]http://www.33[/url]**92.com/下载一份名为hostx.txt的木马列表，根据上面的地址去下载更多的其它恶意程序，给用户系统造成各种可能的破坏。
    由于此病毒是对explorer.exe采取覆盖式感染，被查杀后，系统桌面将不能启动。因此，对它还需以预防为主。

“牧民远程控制361984”（Win32.Hack.Delf.388261）  威胁级别：★★

    病毒顺利潜入用户系统后，将病毒文件sysi.dll释放到系统盘的%WINDOWS%%\system32目录下，然后修改系统注册表，创建系统服务，将自己设置为开机自启动。对注册表熟悉的用户如果检查注册表，就能发现里面已经被添加了可令电脑自动上线的数据。
    当病毒开始运行，它会创建单独的svchost.exe进程，并将之前生成的dll文件加载到其中，创建后门。然后在用户无法察觉的情况下开启远程线程，连接 [url]http://yk2812017.3322.org:8000[/url]这个由黑客（木马种植者）指定的地址，使黑客可以控制被感染机器。
    由于svchost.exe在正常的电脑中也可能同时出现多个，这就造成一些初级用户感到迷惑，难以识别哪个是病毒进程。而当黑客控制中毒电脑后，他就能进行几乎任何想要的操作，甚至利用中毒电脑去攻击其它电脑，给用户造成无法估计的损失和麻烦。

“自由感染者”（Win32.Mabezat.b.156527）  威胁级别：★★

    病毒进入系统后，将三个病毒文件hook.dl_、tazebama.dl_、tazebama.dll释放到系统盘的%Documents and Settings%目录下，并将它们的数据写入系统注册表，使自己实现随系统启动而自动运行之目的。
    同时，病毒在各盘根目录生成隐藏属性的AUTO病毒，分别是zPharaoh.exe病毒文件和autorun.inf辅助文件，只要用户双击进入含毒磁盘分区，病毒就能被激活，瞬间感染包括U盘在内的任何已连接磁盘，连“[用户目录]\Local Settings\Application Data\Microsoft\CD Burning”目录下也被病毒潜伏，如果用户刻录光盘，病毒就可借机将自己复制到光盘上。
    当病毒运行起来后，它遍历磁盘寻找exe文件进行感染，并将搜索到的邮箱地址记录到系统盘的“%Documents and Settings%\[USER NAME]\Application Data\tazebama\”目录下名为zPharaoh.dat的病毒文件中，然后向这些地址发送含毒邮件。对于局域网内的其它用户电脑，病毒也不会放过传染的机会，它会尝试利用众多的弱口令去进行试探。   
    如果仅仅是单纯传播自己，该病毒并不会造成严重破坏，但是，它在修改注册表时，会破坏用户系统的自动播放管理模块，造成所有储存设备都可以自动运行，这就给其它不良软件的入侵提供了机会，因此，对该病毒需提高警惕。

动物家园计算机安全咨询中心反病毒工程师建议：

   1、从其他网站下载的软件或者文件，打开前一定要注意检查下是否带有病毒。
  
   2、别轻易打开陌生人邮件及邮件附件、连接等。

   3、用户应该及时下载微软公布的最新补丁，来避免病毒利用漏洞袭击用户的电脑。

   4、尽量把系统帐号密码设置强壮点，勿用空密码或者过于简单。

   5、发现异常情况，请立即更新你的反病毒软件进行全盘查杀或者登陆bbs.kingzoo.com(安全咨询中心)咨询