病毒周报(100125至100131)

动物家园计算机安全咨询中心（ www.kingzoo.com）反病毒斗士报：

“控制者”（Trojan/Win32.KillAV.bkx[Dropper]） 威胁级别：★★

    该恶意代码文件为灰鸽子变种后门类木马，病毒运行后创建dll843.dll文件到临时目录下，创建完成后动态加载该病毒DLL文件，释放批处理文件到临时目录下，用于删除病毒原文件，病毒DLL被加载之后判断自身文件路径是否在%System32%目录下，如不是则创建beep.sys到%System32%\drivers目录下替换系统现有的文件来躲避安全软件的主动防御查杀，遍历进程查找AVP.EXE找到后试图强行结束该进程，添加注册表病毒服务启动项，将自身DLL拷贝到%System32%目录下，开启svchost.exe进程将病毒DLL注入到进程中并创建一个线程向病毒作者地址发送数据，感染的计算机会被病毒作者完全操控。

“霸族变种”（Trojan/Win32.Buzus.czmo） 威胁级别：★★

    该病毒文件对API函数进行了加密处理，病毒运行后解密部分API函数，将自身创建到进程中，读取内存MZP标志，查找内存空间地址，并比较，申请内存空间将病毒代码写入到内存空间，在进程中创建线程释放病毒文件到%System32%目录下，修改注册表使系统文件达到启动病毒的目的，连接网络。

“诛仙木马”（Trojan/Win32.Magania.gen[GameThief]） 威胁级别：★★

    该恶意代码文件为诛仙游戏盗号木马，病毒运行后遍历进程查找"elementclient.exe"进程，找到之后强行结束该进程，遍历进程查找avp.exe、kvmonxp.exe进程，如果存在以上2个进程将比较自身文件名是否为"RV00458.tmp"，如不是则拷将自身到命名为"RV00458.tmp"然后退出进程，如果找不到以上2个安全软件进程则衍生病毒DLL文件到临时目录下，将文件属性设置为隐藏，动态加载病毒DLL文件，获取调用病毒DLL的"zhko"模块来设置安装消息钩子，病毒DLL被加载之后判断DLL文件是否在EXPLORER.EXE、elementclient.exe进程中，如果是就安装消息钩子创建互斥"czxasdfgh"，防止多次运行，利用全局钩子截取游戏账号及密码，通过URL方式发送到病毒作者指定地址中。

动物家园计算机安全咨询中心反病毒工程师建议：

   1、从其他网站下载的软件或者文件，打开前一定要注意检查下是否带有病毒。  

   2、别轻易打开陌生人邮件及邮件附件、连接等。

   3、用户应该及时下载微软公布的最新补丁，来避免病毒利用漏洞袭击用户的电脑。

   4、尽量把系统帐号密码设置强壮点，勿用空密码或者过于简单。

   5、发现异常情况，请立即更新你的反病毒软件进行全盘查杀或者登陆bbs.kingzoo.com(安全咨询中心)咨询