病毒周报(071029至071104)

动物家园计算机安全咨询中心（ [url]www.kingzoo.com[/url] ）反病毒斗士报牵手广州市计算机信息网络安全协会（ [url]www.cinsa.cn[/url] ）发布：

本周重点关注病毒：
"AUTO病毒81920"(Win32.Troj.Autorun.hx.81920)   威胁级别：★★

    这是一个木马下载者。该病毒运行后，会在各盘产生auto病毒。以便通过U盘等可移动途径进行传播。病毒会将自身创建为系统服务，并联网下载大量病毒到用户机器上运行。
    该病毒运行后，会在系统的临时目录下生成三个病毒文件，分别是:LYLOADER.EXE、MSDEG32.DLL、LYMANGR.DLL。并且在internet explorer目录下生成一个病毒文件use070929.dll，该dll文件会注入到rundll32.exe系统进程，通过该进程连接网络，然后悄然地从网络下载大量的盗号木马，该病毒盗取的有"梦幻西游"和"QQ"等的帐号信息，使用户的网络财产遭到损失。而且该病毒成功运行后，会通过批处理文件deletebat.bat对病毒源文件进行删除，使用户无法找到病毒源。而病毒也会修改启动项，当用户启动系统时，除了系统文件会被启动外，附带的病毒启动项一并触发且运行。最后在用户打开浏览器浏览网页时，会明显感觉到系统的资源被占用，打开网页速度非常慢，而且还会不时的弹出广告窗口，影响用户浏览网页。   

"YAYA盗号者"(Win32.PSWTroj.OnLineGames.YA)  威胁级别：★

    该病毒是一个网游盗号者，盗取的网络游戏分别有"天龙八部"、"惊天动地"、"浩方"等游戏。病毒成功运行后，会在系统目录%system32%下生成AVPSrv.dll病毒文件，以及在系统根目录下生成AVPSvr.exe病毒文件。该病毒还会自动创建病毒启动项，当用户在启动系统时，病毒文件AVPSvr.exe将随着系统的启动而触发运行。该病毒会将部分杀软的警告窗口自动关闭(如：卡巴斯基、瑞星等)，使用户系统的安全性大大降低。当系统失去所有的安全防护时，病毒通过AVPSvr.dll进程进行病毒操作，通过读取内存的方式获取用户网游的帐号信息，最后传送到 [url]http://fy1.s[/url]******.com/jjfy/lin.asp，使盗号者成功获取信息。

“网游盗窃者57344”（Win32.PSWTroj.OnLineGames.YA.57344）  威胁级别：★

    该盗号木马针对的网络游戏和软件较多，作案对象包括《完美世界》、《彩虹岛》、《浩方对战平台》、《惊天动地》以及ＱＱ和ＱＱ游戏。木马运行成功后，会释放出两个文件，分别为%WINDOWS%\下的msccrt.exe和%WINDOWS%\system32下的msccrt.dll。接着，它修改注册表加入启动项，以便以后每次系统启动时也随之启动。该病毒会将自己注入不同的进程中。然后，它查看窗口标题名是否含有“QElementClient Window”、“ElementClient Window”等字样，以此来判断电脑中是否已运行上述游戏和软件，一旦确认该进程为作案对象，就会通过内存读取的方式，截获这些游戏和软件的帐号信息，并发送到木马生成者指定的接收地址"http:/*******/wl/cin.asp?a=&s=&u=&c=0"，使木马生成者顺利得到用户的帐号信息，造成用户虚拟财产的损失。此外，病毒在运行后还会删除自身源文件，使用户无法找到病毒源。

动物家园计算机安全咨询中心反病毒工程师建议：

   1、从其他网站下载的软件或者文件，打开前一定要注意检查下是否带有病毒。
  
   2、别轻易打开陌生人邮件及邮件附件、连接等。

   3、用户应该及时下载微软公布的最新补丁，来避免病毒利用漏洞袭击用户的电脑。

   4、尽量把系统帐号密码设置强壮点，勿用空密码或者过于简单。

   5、发现异常情况，请立即更新你的反病毒软件进行全盘查杀或者登陆bbs.kingzoo.com(安全咨询中心)咨询