病毒周报(080310至080316)

动物家园计算机安全咨询中心（ [url]www.kingzoo.com[/url] ）反病毒斗士报牵手广州市计算机信息网络安全协会（ [url]www.cinsa.cn[/url] ）发布：

本周重点关注病毒：

“机器狗变种53248”（Win32.Troj.Agent.dd.53248）  威胁级别：★★

    病毒进入系统后，在系统盘中释放出两个病毒文件，分别为%WINDOWS%\system32\目录下的winsrv32.dll，以及%WINDOWS%\system32\\drivers\目录下的ati32srv.sys。其中的ati32srv.sys特别值得注意，因为病毒会将它的相关数据写入注册表，恢复系统的SSDT表，这样就可能导致杀毒软件的“主动防御”和“自我保护”功能失效。
    接着，病毒以极快的速度继续修改系统注册表，对大量的杀毒软件和安全辅助软件实施印象劫持，造成它们失效。对于那些不需经过注册表就能使用的绿色安全产品，病毒也采取监视系统进程的方式来阻止其运行。由于病毒的“黑名单”极为庞大，几乎目前所有的杀毒软件及安全辅助软件都会“牺牲”。
    完成以上步骤后，病毒悄悄连接 [url]http://xxx.w[/url]**ala.info/c**hi/、ttp://xxx.f**liu001.info/c**hi/、ttp://a.x**yige.com/等多个由木马种植者指定的网址，获取最新的病毒下载列表，然后根据列表上的地址去下载大量其它木马至用户计算机运行，引发更多无法估计的系统安全问题。

“敏感资料盗窃者202792”（Win32.Troj.Hugedoor.a.202792）  威胁级别：★★

    病毒进入电脑后，释放病毒文件kernel.dll到系统盘的%WINDOWS%\system32\目录下，并修改系统注册表，将该文件的信息写入启动项，使自己能实现自启动。为迷惑用户，病毒会将该文件属性伪装成类似微软的文件，如果用户检查其属性，可看到其服务名为“WmdmPmSN”，名称为“Portable Media Serial Number Service”。
    如果成功运行起来，病毒就会在系统中展开全面监视程序，记录下用户使用outlook和foxmail所有发出邮件的时间、用户名、密码、邮件服务器等信息。另外，它还会记录QQ、ICQ、MSN等即时通讯工具的帐号，密码。
    病毒还记录用户使用IE浏览器时，输入的所有含TEXT和PASSWORD字样的内容，并将这些偷来的信息全部发送到木马种植者指定的地址。更令人发指的是，它甚至会在系统最近打开的文档中搜索doc、txt、pdf等格式的文件，将它们也上传给木马种植者。
    而且此病毒有个狡猾之处，它在上传赃物的过程中，如果嗅探到有网络监控进程，就会暂停上传工作，等2分钟后再次检测。这样一来，监控程序就不容易发现它了。

“AUTO地鼠器”（Win32.Troj.AutoRunT.up.151552）  威胁级别：★★

    病毒进入电脑系统后，在系统盘中释放出海量的病毒文件，难以一一罗列，但主要集中在%windows%、%windows%\Fonts\syn00-0C-29-71-51-1F\等目录下。随后，病毒立即修改系统时间为2018年，使卡巴斯基等依赖依赖系统时间进行激活和升级的杀毒软件失效。同时，它搜索并破坏毒霸的数据，使毒霸也无法正常运行。当用户试图使用毒霸时，会发现无法将其调用，只会弹出个一闪而过的DOS窗口。
    与此同时，病毒纂改注册表，添加了8个病毒启动项，分别是1a、smss、upxdnd、WSockDrv32、cmdbcs、DbgHlp32、AVPSrv、LotusHlp，然后开始疯狂的下载活动。它根据自带的病毒下载列表，从木马种植者指定的多个远程服务器下载海量其它病毒文件，如果使用金山清理专家扫描恶意软件可发现它下载的大部分病毒是盗号木马，其中包括最近名声非常恶劣的“机器狗”。随着进入电脑的木马越来越多，系统资源会被病毒严重占用，直至瘫痪。
    除进行下载外，此病毒还在各磁盘分区中生成隐藏的AUTO病毒，分别是ntldr.exe病毒文件和autorun.inf辅助文件。被AUTO病毒占领的分区，通过左键双击已无法打开，并且只要用户在中毒电脑上使用U盘等移动存储设备，病毒就会将其传染，扩大自己的传染范围。
    对于此病毒，用户需要注意路径“%windows%\Fonts\syn00-0C-29-71-51-1F\system”。病毒为隐藏自己在此目录下的文件，会使用户在找到Fonts文件夹之后，就进不去“syn00-0C-29-71-51-1F”往下的文件夹，但大家如果直接在地址栏输入整个路径，就可以进去了。这些病毒文件找到后并不容易删除，因为已经注入到某些进程里了，只能依赖类似毒霸的粉碎器工具软件根据其路径粉碎掉对应病毒文件，或者进入安全模式进行删除。

“密码盗窃器69632”（Win32.PSWTroj.QQPass.zc）  威胁级别：★★

    病毒进入系统后，首先会进行伪装。它搜索出系统盘%WINDOWS%目录下的记事本程序Notepad.exe，将其更名为Mspad.exe，然后将自己的病毒文件取名为Notepad.exe，释放到同一目录下。一起被释放出来的还有Eudcedit.exe、Freecell.exe、Msscr.exe等文件。
    接着，病毒修改系统注册表，将自己的相关数据写入启动项，实现开机自启动。如果顺利运行起来，它就使用 Timer 控件，监视窗口程序的运行，取得所有的窗口标题，判断其中是否有用于用户登录的窗口。如有，则监视登录窗口的密码输入栏，然后利用SendMessage函数命令，获取这些密码栏中的数据。
    顺便提及，病毒作者没有给此病毒设置判断外部按键事件的功能，它就无法记录用户的键盘输入，但作为弥补这一功能的缺失，它一旦成功开始运行就不会停止，直到被清除。由于是对全部的密码输入栏下手，包括QQ、MSN在内的许多即时通讯工具和机密文件都会遭受威胁。

“安全破坏下载者90112”（Win32.Toj.MacDog.aa.90112）  威胁级别：★★

    病毒进入系统后，会将病毒文件_uninsep.bat和1.exe释放到系统盘的根目录下，同时在系统盘的“%Documents and Settings%\All Users\「开始」菜单\程序\启动\”文件夹下生成病毒主文件的副本AtiSrv.exe。它还修改系统注册表，创建名为“Sc Manager”的系统服务，实现开机自启动。
    接着，病毒迅速查找用户电脑中是否安装得有安全软件，并对它们进行映像劫持。在病毒的劫持列表中有金山毒霸、卡巴斯基、360安全卫士、QQ医生、瑞星、诺顿等大部分常见安全软件，一旦被劫持，这些安全软件就无法运行了。
    最后，病毒在用户无法察觉的情况下建立远程连接，从木马种植者指定的网址 [url]http://iii.u[/url]*6*u.com和 [url]http://tttt.5[/url]**jx.com下载病毒列表，然后根据下载列表中的地址去下载更多的病毒文件到用户系统中运行，给用户的系统安全造成无法估计的威胁。

动物家园计算机安全咨询中心反病毒工程师建议：

   1、从其他网站下载的软件或者文件，打开前一定要注意检查下是否带有病毒。
  
   2、别轻易打开陌生人邮件及邮件附件、连接等。

   3、用户应该及时下载微软公布的最新补丁，来避免病毒利用漏洞袭击用户的电脑。

   4、尽量把系统帐号密码设置强壮点，勿用空密码或者过于简单。

   5、发现异常情况，请立即更新你的反病毒软件进行全盘查杀或者登陆bbs.kingzoo.com(安全咨询中心)咨询