病毒周报(100405至100411)

动物家园计算机安全咨询中心（ www.kingzoo.com）反病毒斗士报：

“记录间谍”（Trojan/Win32.KeyLogger.dzq[Spy]） 威胁级别：★★

    该病毒图标为jpg格式文件图标；该文件是由一个图片文件和一个病毒文件用winrar组成的自解压复合文件；病毒运行后衍生病毒文件到%Windir%目录下，衍生图片文件到%Windir%\temp下，用以迷惑用户；修改注册表添加启动项，使病毒文件随机启动；病毒运行后记录当前用户的键盘操作，保存到%Windir%目录下的winhlp32.hlp文件中；连接FTP服务器，将捕获的键盘数据发送到指定的目录。该病毒通过病毒作者向攻击目标的email地址发送邮件的方式进行传播。

“捆绑者”（Trojan/Win32.Ekafod.q[Dropper]） 威胁级别：★★

    病毒运行后获取系统时间来作为衍生的随机病毒文件名，添加病毒注册表启动项，遍历进程查找"ravmond.exe"进程，衍生多个病毒DLL文件到%System32%目录下，检测%System32%\dllcache目录下是否存在该DLL文件如不存在则衍生相同文件到该目录下，检测D盘下是否存在ssshall目录，如不存在则创建，并将创建的目录属性设置为隐藏，调用regsvr32 /s注册病毒衍生的DLL组件，调用rundll32.exe隐藏安装病毒DLL文件，衍生病毒EXE文件到System32%目录下并命名为Dofake.exe，将D盘下所有文件夹设置为隐藏，并将所有文件夹名字记录下来，将除系统盘外所有磁盘的根目录下所有文件夹属性设置为隐藏，再创建以文件夹名字命名的.exe文件，使用户不被发现，当用户双击打开文件夹时先执行病毒文件之后病毒文件调用EXPLORER.EXE资源管理器方式再打开真正的文件夹，被感染的机器连接网络在后台隐藏打开多个恶意连接。

“间谍木马”（Trojan/Win32.Zbot.agnp[SPY]） 威胁级别：★★

    病毒运行后，复制自身到%System32%目录下，在该目录下衍生多个文件；修改注册表，使衍生的文件伴随userinit.exe启动以及将病毒文件加入到CMD.EXE的调用扩展中；将病毒主体添加到卡巴斯基反病毒软件的信任区域；为卡巴斯基添加新规则开放最大权限；绕过金山反病毒软件的主动防御；病毒运行完毕后删除自身。该病毒会连接网络向外发送本地机器的相关信息、下载病毒的最新版本到IE临时目录并执行，从而盗取或控制用户的计算机。

“魔兽窃贼”（Trojan/Win32.Vilsel.xbd[Downloader]） 威胁级别：★★

    病毒运行之后动态获取多个API函数，在临时目录下释放一个*.tmp临时文件，调用regsvr32.exe系统文件将病毒释放在临时目录下的文件注册为Windows链接库和ActiveX控件并加载已释放的病毒文件,病毒运行完毕之后删除自身文件，被加载的病毒文件执行命令后拷贝%System32%目录下的msvcp50.dll为msvcp60.dll文件，并对该进程进行提权操作，判断自身进程是否是regsvr32与svchost.exe进程，拷贝自身到%System32%目录下的并命名为：rpcss.dll~951531，添加注册表启动项，将%System32%目录下的rpcss.dll命名为rpcss.dll1248234，再将病毒DLL文件命名成rpcss.dll以达到伪装成系统文件的目的，开启一个SVCHOST.EXE进程将病毒DLL注入到该进程中，被感染的用户会被执行下载恶意病毒文件、控制计算机截取敏感账号密码等操作。

动物家园计算机安全咨询中心反病毒工程师建议：

   1、从其他网站下载的软件或者文件，打开前一定要注意检查下是否带有病毒。  

   2、别轻易打开陌生人邮件及邮件附件、连接等。

   3、用户应该及时下载微软公布的最新补丁，来避免病毒利用漏洞袭击用户的电脑。

   4、尽量把系统帐号密码设置强壮点，勿用空密码或者过于简单。

   5、发现异常情况，请立即更新你的反病毒软件进行全盘查杀或者登陆bbs.kingzoo.com(安全咨询中心)咨询