病毒周报(071217至071223)

动物家园计算机安全咨询中心（ [url]www.kingzoo.com[/url] ）反病毒斗士报牵手广州市计算机信息网络安全协会（ [url]www.cinsa.cn[/url] ）发布：

本周重点关注病毒：

“AUTO病毒126976”（Win32.Troj.AutoRun.126976）  威胁级别：★★

        病毒进入电脑系统后，会在%windows%\system32\目录下释放出病毒文件26E07E70.EXE、3DEF2E8.DLL、llk1133861483、n1133861485k.exe，并在全部磁盘中生成AUTO病毒，分别是auto.exe病毒文件和autorun.inf辅助文件。如果用户双击进入有AUTO病毒的盘符时，病毒就会再次被触发。要想清除掉它们，必须右键打开该盘，然后才能将其删除。
        在生成的病毒文件中，有一个名为update[1].txt的文本文件，它隐藏得很深，地址在%Documents and Settings%\用户名\Local Settings\Temporary Internet Files\Content.IE5\EC5UKR17\目录下，病毒可通过该文本文件中的信息，获知从何处下载最新版本的其它病毒。
       同该文本文件一起生成的还有%Documents and Settings%\用户名\Local Settings\Temporary Internet Files\Content.IE5\GR8I0NOH\路径下的f2b4657b5568d072[1].exe病毒文件。
       病毒文件释放完毕后，病毒就会修改注册表，添加许多病毒启动项，并修改系统时间，使依赖系统时间的杀软失效。当系统重启后，这些病毒项就会随系统的启动而运行起来。由于系统资源被病毒大量占用，电脑的运行速度会明显变慢。如果使用反间谍隐蔽软件扫描，会发现在系统盘的许多重要文件夹下，都已经有以盗号木马为主的病毒在其中孳生。

感染虫下载器102400”（Worm.VcingT.o.102400）  威胁级别：★★

        病毒进入系统后，在系统盘的%windows%\system32\Com\目录中释放出四个病毒文件，分别是lsass.exe、smss.exe、netcfg.dll和netcfg.000。同时，它在全部的磁盘根目录下都生成AUTO病毒文件，如果用户试图双击进入含毒磁盘或在中毒电脑上使用U盘等移动存储器，病毒就会立刻再次激活，并将U盘感染。因此，用户最好养成禁止移动存储器自动运行的电脑使用习惯。
        当病毒运行起来后，它就会遍历电脑系统中的exe文件，将它们感染，用户如果检查文件属性，会发现被病毒“附身”的exe文件，占用空间都比以前有所增大。而且，只要运行这些被感染的文件，病毒就会再次随之运行。
       在进行感染的同时，病毒悄悄连接 [url]http://w.XXX.com/r.htm[/url]这个由病毒作者指定的地址，获取一个病毒文件列表，然后根据此列表去下载更多的其它病毒。在那张列表中，含有大量盗号木马、ARP欺骗病毒等，如果它们被顺利下载到用户的电脑系统中，将造成更大的破坏。不过，如果用户安装得有防火墙且开启防御，就能可拦截到此操作。

“ARP骗子86016”（Win32.Troj.VcingARP.a.86016）  威胁级别：★★

        此病毒顺利进入系统后，会在%windows%\system32\drivers\目录下释放出病毒文件alg.exe，然后连接百度主页，以测试网络是否通畅，如果发现网络是接通的，便开始破坏行为。这个过程，一般用户无法察觉，只有安装了防火墙且防范级别较高，才会收到提示。
       病毒运行后，就开始向局域网内的各台成员机发送大量的ARP欺骗代码，称本机器才是网关，从而影响各成员机的数据收发，拖慢局域网。刚开始时，只是网速略微变慢，但很快，这种“慢”就会变得让人无法忍受，最后整个局域网甚至会瘫痪掉。如果局域网内的用户想访问互联网，在打开任何网页时，都会出现莫名其妙的Google广告。
       而如果病毒发现局域网内用户试图通过点击浏览器下载文件时，就会截获下载地址，并其重定向到病毒下载地址。要是用户不注意检查下载文件的名称，就有可能误下载其它病毒文件，给电脑系统的安全造成更大威胁。

动物家园计算机安全咨询中心反病毒工程师建议：

   1、从其他网站下载的软件或者文件，打开前一定要注意检查下是否带有病毒。
  
   2、别轻易打开陌生人邮件及邮件附件、连接等。

   3、用户应该及时下载微软公布的最新补丁，来避免病毒利用漏洞袭击用户的电脑。

   4、尽量把系统帐号密码设置强壮点，勿用空密码或者过于简单。

   5、发现异常情况，请立即更新你的反病毒软件进行全盘查杀或者登陆bbs.kingzoo.com(安全咨询中心)咨询