病毒周报(080303至080309)

动物家园计算机安全咨询中心（ [url]www.kingzoo.com[/url] ）反病毒斗士报牵手广州市计算机信息网络安全协会（ [url]www.cinsa.cn[/url] ）发布：

本周重点关注病毒：

“关门放狗”（Win32.Troj.DownloaderT.pl.43008）  威胁级别：★★

    病毒进入用户的电脑系统，在系统盘中释放出五个病毒文件，其中四个是系统盘根目录下，以1至4的数字命名的EXE文件，另外一个是%WINDOWS%\Temp\目录下随即命名的tmp格式文件，这个文件其实是臭名昭著的“机器狗”木马的驱动程序。
    接着，病毒修改系统注册表，创建一个名为sys_flt的服务，并将该服务程序指向之前生成的tmp文件。如果tmp文件被顺利加载，就会将自身复制到系统盘的“%Documents and Settings%\All Users\「开始」菜单\程序\启动\”目录下，并置其属性为只读。
    在电脑里站稳脚跟后，机器狗会通过一系列快速的计算，解除还原系统对电脑的保护。如确定突破了保护，病毒就悄悄连接 [url]http://www.2[/url]**01*8.cn/api/other这个由木马种植者指定的地址，下载其它木马程序到用户电脑上运行，给用户的系统安全带来无法估计的威胁。
    “机器狗”这类针对还原系统进行穿透破解的木马多见于网吧等公共场所的电脑，用户操作公用电脑时需提高警惕。

“多啦恶梦”（Win32.Troj.Agent.225280）  威胁级别：★★

    该病毒进入系统后，在系统盘根目录下生成一个“VKidding”文件夹，将自己的病毒文件kid.exe释放到里面，其程序图标为机器猫（多啦A梦）。随后，它修改系统注册表启动项中的有关信息，使自己能够在用户开机时自动跟着运行起来。
    为防止用户利用Windows任务管理器来查杀自己，病毒会破坏注册表中的相关数据，使Windows任务管理器不能正常使用。完成这个步骤后，病毒就开始发作。在它发作时，系统桌面完全消失，只留下蓝色背景。而鼠标和键盘则始终处于忙碌状态，无法使用，从而造成计算机被锁定。并且，令用户苦笑不得的是，病毒这时会开始播放“机器猫”动画片的音乐。
    此外，为扩大自己的传染范围，病毒会依次遍历C盘到L盘的磁盘分区，在其根目录下生成隐藏文件autorun.inf和存放副本的隐藏目录VKidding，目录中包括autorun.inf、HOOK.DLL、kid.exe等病毒文件。很明显，病毒是想利用Windows自动播放功能使病毒传染到U盘等移动存储设备上。

“感染式下载器82954”（Win32.MicBind.a.82954）  威胁级别：★★

    此病毒会随着被感染的文件进入电脑系统。在用户运行被感染文件后，它将被感染文件和感染源释放到系统WINDOWS目录的system32文件夹下运行。
    接着，病毒瞬间破坏Windows的系统文件保护功能。这样，在它进行下一步的破坏时，系统就不会弹出警告框。当病毒开始运行后，会检查硬盘中是否存在D至Z盘的磁盘分区。如有，就对这些分区中的exe文件进行感染，将被感染的文件附在自身尾部。
    同时，病毒在用户无法察觉的情况下连接网络，从木马种植者指定的地址 [url]http://n[/url]**s.h**ll.com下载其它病毒，并以Servr.exe的名称存放到%WINDOWS%\system\文件夹下运行。
    值得留意的是，病毒感染源和原文件分别命为temp1.exe和temp2.exe，而被感染文件的图标变为安装程序的图标

“秘密记录员”（Win32.Troj.Agent.um.401408）  威胁级别：★★

    病毒会在系统盘中释放出五个病毒文件，分别为%WINDOWS%目录下的mwinsys.ini、%WINDOWS%\system\目录下的AlxRes070826.exe、%WINDOWS%\system32\inf\目录下的scrsys070826.scr和scrsys16_070826.dll，以及%WINDOWS%\system32\目录下的winsys16_070826.dll和winsys32_070826.dll。另外，如果用户系统中有D盘，病毒会在D盘根目录下生成一个名为myplayer.com的病毒文件。
    文件释放完毕后，病毒将自己的相关数据写入系统注册表启动项，让自己能随系统桌面进程Explorer.exe一起启动。如果能成功启动，病毒就会查找并关闭金山毒霸、卡巴斯基、360安全卫士等安全软件，并禁止任务管理器启动。
    随后，病毒在系统中查找IE浏览器的进程iexplore.exe、腾讯TT浏览器的进程TTraveler.exe，以及遨游浏览器的进程maxthon.exe进程，如果有则创建远程线程注入其中。同时，它监视用户的QQ聊天信息，将其记录后保存记录到本地。最后，该病毒会打开系统后门，等待木马种植者（黑客）的远程连接。
    如果黑客成功入侵用户系统，除能查看到用户QQ聊天记录外，还可以进行任何其想要的操作，这可能给用户带来无法估计的威胁和麻烦。

动物家园计算机安全咨询中心反病毒工程师建议：

   1、从其他网站下载的软件或者文件，打开前一定要注意检查下是否带有病毒。
  
   2、别轻易打开陌生人邮件及邮件附件、连接等。

   3、用户应该及时下载微软公布的最新补丁，来避免病毒利用漏洞袭击用户的电脑。

   4、尽量把系统帐号密码设置强壮点，勿用空密码或者过于简单。

   5、发现异常情况，请立即更新你的反病毒软件进行全盘查杀或者登陆bbs.kingzoo.com(安全咨询中心)咨询

本文出自 “木马屠夫” 博客，转载请与作者联系！