病毒周报(071210至071216)

动物家园计算机安全咨询中心（ [url]www.kingzoo.com[/url] ）反病毒斗士报牵手广州市计算机信息网络安全协会（ [url]www.cinsa.cn[/url] ）发布：

本周重点关注病毒：

“仇恨脚本”（VBS.Rol.a.11804）  威胁级别：★★

        病毒进入电脑系统后，会立即对系统盘进行搜索，寻找Zone Labs、AntiViral Toolkit Pro、Command Software、PC-Cillin、Quick Heal(快速愈合)、麦咖啡、诺顿等国外主流安全软件，发现之后将它们迅速删除。这样一来，它便能在系统中肆意地进行破坏。
        接着，病毒搜索系统中所有的htm、html、asp格式文件，将自己的病毒信息插入其中欧，同时它还修改注册表中的IE首页相关信息，将IE浏览器的默认首页设定为 [url]http://www.o[/url]**t.edu/g***ps/**a/ev***nder.swf。这样一来，用户使用网络服务时，就会被引导到病毒作者指定的网站。
        此病毒对系统的最大的危害，在于它会删除%windows%\System32\目录下的全部文件，并对所有磁盘分区中的多种非系统文件进行“移形换影”。当它检测到扩展名为lnk、zip、jpg、peg、mpg、mpeg、doc、xls、mdb、txt、ppt、pp、ram、rm、mp3、mdb、swf等的文件后，就会用“原文件名+.vbs”的病毒文件替换掉原文件。
        当目标文件删除完毕，病毒就会弹出一个含有国外种族敌视内容的对话框，然后强行关闭系统。除在本机上进行破坏外，病毒还会搜索受害电脑上的邮件地址，向这些地址发送含有病毒链接的邮件，借以扩散自己的影响范围。

  “AUTO特务89280”（Win32.Troj.AutoRun.te.v）  威胁级别：★★

       病毒进入电脑系统后，在系统盘中释放出六个病毒文件，分别为%windows%\temp\目录下的RarSFX0文件，%windows%\system32\Com\目录下的LSASS.EXE、netcfg.000、netcfg.dll、SMSS.EXE文件，%Local Settings%\Temporary Internet Files\Content.IE5\EC5UKR17\目录下的r[1].htm文件，以及%Local Settings%\Temporary Internet Files\Content.IE5\GR8I0NOH\目录下的CAYNKA2Y.HTM文件。
       接着，病毒修改注册表中的相关数据，使系统的隐藏功能失效，只要具有隐藏属性的文件将无法显示。稍后，它在各磁盘分区中生成的AUTO病毒文件，分别pagefile.pif和autorun.inf，这两个文件都是隐藏的。只要用户点击盘符进入，就会再次激活病毒。此后，如果在者台电脑上使用U盘等移动存储器，就会被病毒传染。
      随后，病毒破坏注册表启动项，把许多正常的系统启动项从中删除，包括毒霸等安全软件的启动项。并且，病毒还释放出一个隐藏的文件“Broken SafeBoot”，用以破坏系统安全模式的。这样以来，用户将无法进入安全模式手动查杀。
      除以上罪行，该病毒还会引发ARP欺骗，导致在同一局域网内的机器网络异常。在该过程中，网络会时常断开，并会有病毒被下载到中了ARP的机器。

“POPHOT点击器变种103284”（Win32.Troj.Pophot.103284）  威胁级别：★★

       病毒进入电脑系统后，在系统盘中释放出六个病毒文件，分别是%windows%\system32\目录下的winsys16_071031.dll、winsys32_071031.dll、AlxRes071031.exe文件，%windows%\system32\inf\目录下的scrsys071031.scr、scrsys16_071031.dll文件，以及%windows%目录下的mwinsys.ini文件。然后，病毒就建立一个批处理程序myDelm.bat 来删除自己的源文件，以避免用户发现。接着，病毒修改注册表启动项，把自己的相关信息加入其中，达到随系统自动启动之目的。
        开始运行后，病毒会以最快的速度检查系统中已安装的安全软件，如发现它们试图弹出警告框提醒用户系统正遭受入侵，就会立刻模拟鼠标点击允许按钮来屏蔽提示和警告，给自己争取到下一步行动的时间。紧接着，它搜索卡巴斯基、360 安全卫士、瑞星、江民等安全软件厂商的产品，并尝试把它们强行关闭。
        然后，病毒修改IE浏览器、百度工具条、GOOGLE 工具条、雅虎助手等工具的数据，把大量广告网站、以及含毒网站的信息加入它们的白名单，同时在桌面和收藏夹中生成这些网站的快捷方式，诱使用户点击。它还会试图通过枚举数值的方法来获取用户保存在本机的Internet Explorer、Outlook、MSN的密码。
       此外，该病毒还会在所有非系统盘中生成 AUTO病毒文件AUTORUN.INF，只要用户双击打开磁盘，病毒就会被再次激活。此后，如果用户在中毒电脑上使用U盘等移动存储器，病毒就会立即将其传染。

“杀软封印下载器”（Win32.Troj.Autorun.56832）  威胁级别：★★

       病毒运行后，会在系统盘的%windows%\system32\目录下释放出病毒文件TxHMoU.Exe，并在全部的磁盘分区中生成AUTO病毒文件AUToRUN.Inf和soS.Exe。只要用户双击打开含毒磁盘，病毒就会立刻被激活。如果用户在这台电脑上使用U盘等移动存储器，病毒也会立即将其传染，以扩大自己的势力范围。
        随后，病毒修改注册表，将自己的相关信息加入其中，达到随系统自启动之目的，并连接病毒作者指定的网址 [url]http://1[/url]**.10.1**.1*6，下载最新的病毒配置文件。同时，病毒还会修改注册表的其它部分，禁用任务管理器、禁止自动升级、禁止显示隐藏文件、修改IE主页、禁止用户修改IE主页……经过一番“手术”后，用户的操作将变得极为不便，而且当用户试图访问任何与杀毒及系统安全有关的网页时，IE浏览器就会被立刻强行关闭，而病毒却可以畅通无阻的下载大量病毒到用户系统中运行，给用户造成巨大的损失。

“网游大盗57344”（Win32.hack.Unknown.b.57344）  威胁级别：★★

         病毒顺利潜入电脑系统后，会将自身文件MsIMMs32.exe复制到系统盘的%windows%目录下，然后修改注册表，将自己的相关数据加入其中，以实现开机自启动。
　　当它开始运行时，会立刻创建一个线程，死盯卡巴斯基的报警和通知窗口，以及瑞星的注册表监控提示窗口，一旦发现它们弹出，就立刻将其关闭。这样一来卡巴和瑞星就无法向用户报告系统中的灾情。
　　抢先关闭掉杀毒软件的提示窗口后，病毒就试图关闭金山毒霸、卡巴斯基、麦咖啡、江民、诺顿等杀毒软件的主程序，以便让自己可以在电脑系统中为所欲为。
　　当解决掉杀毒软件，病毒就开始搜索浩方、彩虹岛、问道、惊天动地、完美世界，以及QQ游戏的主程序，发现它们后，就注入游戏进程，通过内存读取的方式盗取用户的帐号信息。并将其发送到 http://**1.s**j***.com/c**h/lin.asp这个由木马作者指定的地址，给用户造成虚拟财产的损失。

动物家园计算机安全咨询中心反病毒工程师建议：

   1、从其他网站下载的软件或者文件，打开前一定要注意检查下是否带有病毒。
  
   2、别轻易打开陌生人邮件及邮件附件、连接等。

   3、用户应该及时下载微软公布的最新补丁，来避免病毒利用漏洞袭击用户的电脑。

   4、尽量把系统帐号密码设置强壮点，勿用空密码或者过于简单。

   5、发现异常情况，请立即更新你的反病毒软件进行全盘查杀或者登陆bbs.kingzoo.com(安全咨询中心)咨询