病毒周报(080901至080907)

动物家园计算机安全咨询中心（ [url]www.kingzoo.com[/url] ）反病毒斗士报牵手广州市计算机信息网络安全协会（ [url]www.cinsa.cn[/url] ）发布：

本周重点关注病毒：

“蓝屏广告木马147456”（Win32.Troj.Agent.cd.147456）  威胁级别：★

       这个广告程序和其它“同类产品”功能差不多。进入系统后就会修改注册表中关于IE浏览器的数据，使得自己能控制IE浏览器弹出病毒作者指定的网页，为这些广告网站赚取流量。
       同时，它会记录下用户系统的配置、地址信息，将它们发送给病毒作者。如果病毒作者将这些数据卖给黑客，那么会给黑客入侵用户电脑提供很大方便。
       病毒文件会被隐藏在%WINDOWS%\system32\目录下，有随机命名的一个dll文件和两个exe文件。病毒通过感染系统自身的winlogon.exe文件来加载自己的文件。如果习惯手动杀毒的用户直接强制删除病毒dll文件，可能会导致winlogon.exe加载病毒dll失败而蓝屏。

“广告文件夹102400”（Worm.Mobler.i.102400）  威胁级别：★

       病毒图标会伪装成一个文件夹的图标，迷惑用户。它运行后，拷贝自身到C:\windows\temp目录下，以一个随机名来命名，文件名后门几个数字是当前的日期加上一段随机数字序列。
       病毒运行起来，就修改IE浏览器的默认首页为 [url]http://www.2[/url]**lt.Com，这样，用户每次启动IE，都会被指引到该网站上。为防止用户修复浏览器，该毒会并禁用任务管理器、和注册表编辑器。同时，病毒会每隔几十毫秒就用新的进程和文件来代替旧的进程和文件，从而使用户即便修复了任务管理器，也不容易定位到病毒的当前进程及文件。
如果用户坚持手动查杀该毒，那必须在较短的时间间隔里结束病毒的当前进程和另一个刚刚创建好的新进程。
        为快速传播自己，病毒会在各磁盘分区下建立自己的AUTO文件，这样它就可以自动感染用户的U盘等移动存储设
备。

“记录员下载器105984”（Win32.TrojDownloader.Unknown.105984）  威胁级别：★

       病毒创建进程将自身文件BITS.DLL复制到%WINDOWS%\system\目录下，增加注册表启动项，实现开机自启动，然后就提权创建自身的文件映射。
       在这里，病毒有个狡猾之处，它将映射名称采用为“_kaspersky”，试图伪装成杀毒软件卡巴斯基。如果用户在没有安装卡巴的机器上发现了这样的文件映射，那很可能是已经感染了此毒。
       该毒运行起来后，就从指定的远程地址下载一个名为kvmon.exe的文件，并为其创建进程运行。这个文件是病毒用于执行盗号的模块，它会记录当前窗口以及键入的内容和时间，写入到当前目录的info.dat目录下，并发送到xwd***2008.3322.org:8000这个由病毒作者指定的地址。

动物家园计算机安全咨询中心反病毒工程师建议：

   1、从其他网站下载的软件或者文件，打开前一定要注意检查下是否带有病毒。
  
   2、别轻易打开陌生人邮件及邮件附件、连接等。

   3、用户应该及时下载微软公布的最新补丁，来避免病毒利用漏洞袭击用户的电脑。

   4、尽量把系统帐号密码设置强壮点，勿用空密码或者过于简单。

   5、发现异常情况，请立即更新你的反病毒软件进行全盘查杀或者登陆bbs.kingzoo.com(安全咨询中心)咨询