病毒周报(091123至091129)

动物家园计算机安全咨询中心（ www.kingzoo.com ）反病毒斗士报：

“下载者木马bbpg”（Trojan/Win32.Agent.bbpg[Dropper]） 威胁级别：★★

    该病毒为木马类病毒，病毒运行后，创建进程加载病毒DLL文件，添加注册表启动项，创建相应快捷方式文件到桌面，将病毒dll文件注入到Explorer.exe进程中，调用函数连接网络打开一个网址并下载病毒文件保存到%System32%目录下，病毒DLL文件主要行为：当用户双击盘符时会出现该目录存在威胁的提示并询问用户是否下载，当用户选择“是”则会连接网络下载文件，当用户选择“否”则会弹出一个网页模拟本地磁盘，显示存在的威胁数量并提示用户是否下载扫描器，严重影响用户对本地磁盘的正常浏览。

“魔兽窃贼”（Backdoor/Win32.PcClient.avjs） 威胁级别：★★

    该病毒文件为后门类木马，该病毒文件进行了加密处理可以躲避多款安全软件的查杀，病毒运行后创建病毒驱动文件到%System32%目录下，将病毒衍生的文件创建时间设置为svchost.exe文件的创建时间，来躲避用户按文件创建时间的查找，动态加载病毒衍生的文件并调用该文件的"ServeeeDo"模块，该模块被调用之后创建病毒服务以服务方式使svchost.exe进程达到开机启动病毒文件目的，设置完毕后调用函数启动病毒服务，创建一个svchost.exe进程将衍生的病毒文件注入到该进程中进行网络通信，被感染的用户会主动连接到被控制者的IP等待控制者发送控制命令，控制者对感染的用户进行剪切、复制、拷贝、删除、视频监控、语音监听等恶意操控。

“霸族变种cnhf”（Trojan/Win32.Buzus.cnhf[Proxy]） 威胁级别：★★

    该病毒为蠕虫类病毒，该病毒文件对API函数进行了加密处理，病毒运行后解密部分API函数，将自身创建到进程中，读取内存MZP标志，查找内存空间地址，并比较，申请内存空间将病毒代码写入到内存空间，在进程中创建线程释放病毒文件到%System32%目录下，修改注册表使系统文件达到启动病毒的目的，连接网络。

动物家园计算机安全咨询中心反病毒工程师建议：

   1、从其他网站下载的软件或者文件，打开前一定要注意检查下是否带有病毒。
  
   2、别轻易打开陌生人邮件及邮件附件、连接等。

   3、用户应该及时下载微软公布的最新补丁，来避免病毒利用漏洞袭击用户的电脑。

   4、尽量把系统帐号密码设置强壮点，勿用空密码或者过于简单。

   5、发现异常情况，请立即更新你的反病毒软件进行全盘查杀或者登陆bbs.kingzoo.com(安全咨询中心)咨询