病毒周报(100329至100404)

动物家园计算机安全咨询中心（ www.kingzoo.com ）反病毒斗士报：

“控制者”（Backdoor/Win32.Bifrose.clcp） 威胁级别：★★

    该病毒为客户端，根据用户要求，能生成包括DNS服务器、打开的远程端口、C/S验证口令、安装目录、启动注册表键值，是否注射进程等功能的服务端。该病毒运行后，衍生病毒副本到系统目录%windows%或%System32%下，添加注册表启动项，以便在系统启动后运行，使受感染主机可能被运行有害程序。

“霸族变种”（Trojan/Win32.Buzus.dnwi） 威胁级别：★★

    该病毒文件对API函数进行了加密处理，病毒运行后解密部分API函数，将自身创建到进程中，读取内存MZP标志，查找内存空间地址，并比较，申请内存空间将病毒代码写入到内存空间，在进程中创建线程释放病毒文件到%System32%目录下，修改注册表使系统文件达到启动病毒的目的，连接网络。

“间谍木马”（Trojan/Win32.Zbot.ahcf[SPY]） 威胁级别：★★

    病毒运行后，复制自身到%System32%目录下，在该目录下衍生多个文件；修改注册表，使衍生的文件伴随userinit.exe启动以及将病毒文件加入到CMD.EXE的调用扩展中；将病毒主体添加到卡巴斯基反病毒软件的信任区域；为卡巴斯基添加新规则开放最大权限；绕过金山反病毒软件的主动防御；病毒运行完毕后删除自身。该病毒会连接网络向外发送本地机器的相关信息、下载病毒的最新版本到IE临时目录并执行，从而盗取或控制用户的计算机。

“伪装者”（Trojan/Win32.Scar.bvoj） 威胁级别：★★

    病毒运行后，释放一个伪装的系统文件到系统文件夹下，并删除木马自身。该文件用以伪装Windows系统的帮助文件，并设置该文件属性为系统隐藏的属性，使得一般用户难以察觉。程序运行后，会调用services.exe加载自身为服务项，然后通过修改和调用svchost.exe进程，访问远程服务器，伺机接受远程指令，下载更多恶意程序到受感染计算机，给计算机安全造成重大隐患。

动物家园计算机安全咨询中心反病毒 工程师建议：

   1、从其他网站下载的软件或者文件，打开前一定要注意检查下是否带有 病毒。  
   2、别轻易打开陌生人邮件及邮件附件、连接等。
   3、用户应该及时下载微软公布的最新补丁，来避免 病毒利用漏洞袭击用户的电脑。
   4、尽量把系统帐号密码设置强壮点，勿用空密码或者过于简单。
   5、发现异常情况，请立即更新你的反 病毒软件进行全盘查杀或者登陆bbs.kingzoo.com(安全咨询中心)咨询