病毒周报(091221至091227)

“灰鸽子变种”（Backdoor/Win32.Agent.pv） 威胁级别：★★

    该恶意代码文件为灰鸽子变种后门类木马，病毒运行后Load资源加密信息，包括病毒要衍生的目录、名称、上线IP地址、端口、服务名等信息，判断自身文件名是否为IEXPLORE.EXE名，如果不是则判断自身文件路径是否为%Windir%\Hacker.com.cn.exe路径下的文件，如是则退出，如不是则创建互斥量防止病毒多次运行，遍历%Windir%目录查找Hacker.com.cn.exe文件是否存在，如果存在则退出！不存在则拷贝自身到该目录下，并将文件属性设置为隐藏，创建病毒注册表服务以服务方式启动病毒，添加注册表RUN启动项，弹出信息提示框（灰鸽子远程控制服务端安装成功！）的提示信息，衍生批BAT处理文件用于删除病毒源文件，开启一个IEXPLORE.EXE进程连接网络进程通信，被感染的用户电脑将被自动开启socks与HTTP代理，感染的计算机会被作者完全操控。

“魔兽窃贼”（Virus/Win32.Daum.a） 威胁级别：★★

    该文件是被病毒感染后的文件。该病毒为感染式病毒，病毒通过修改导入表的方式使被感染文件在调用某一个动态链接库的时候将首先执行病毒代码，执行完毕后将转到正常调用的函数的代码。病毒的代码将向资源管理器进程中注入远程线程，检测窗口类名称为“TibiaClient”的窗体，读取进程内部的内存数据。


动物家园计算机安全咨询中心反 病毒 工程师建议：

   1、从其他网站下载的软件或者文件，打开前一定要注意检查下是否带有 病毒。
  
   2、别轻易打开陌生人邮件及邮件附件、连接等。

   3、用户应该及时下载微软公布的最新补丁，来避免 病毒利用漏洞袭击用户的电脑。

   4、尽量把系统帐号密码设置强壮点，勿用空密码或者过于简单。

   5、发现异常情况，请立即更新你的反 病毒软件进行全盘查杀或者登陆bbs.kingzoo.com(安全咨询中心)咨询