病毒周报(071224至071230)

动物家园计算机安全咨询中心（ [url]www.kingzoo.com[/url] ）反病毒斗士报牵手广州市计算机信息网络安全协会（ [url]www.cinsa.cn[/url] ）发布：

本周重点关注病毒：

“瓢虫病毒237568”（Win32.Troj.Downloader.vb.237568）  威胁级别：★★

        病毒潜入用户电脑系统后，会在系统盘中释放出6个病毒文件，分别为%windows%\system32\目录下的AUTORUN.INF、netshare.cmd、Avpser.cmd、Taskeep.vbs、SDGames.exe，以及%windows%下的system.ini。除此而外，病毒还在全部磁盘的根目录下生成AUTORUN.INF、Recycleds.url、SDGames.exe、Windows.url、新建文件夹.url等文件。
        当病毒开始运行后，机器的运行速度明显减慢，看看系统时间，已经被修改成了“2030”年，这使依赖系统时间的软件全部失效。当用户打开浏览器，会发现首页被修改为一个伪装的“百度”，由于该网址同样具有正常的搜索功能，所以极具容易迷惑性。
        如果用户想使用“任务管理器”和“文件夹选项”来查看是谁在系统中捣鬼，会发现这两个功能都被病毒屏蔽掉；而当用户试图打开注册表时，会弹出一个对话狂，提示“注册表编辑已被管理员停用”；再仔细检查，会发现连System32文件夹都不见了。看来，病毒已经把自己隐藏得非常深。大家这时应该会奇怪为什么安全软件为什么不报警吧，其实，它们早已被病毒感染，解除了武装。
       当再次打开“我的电脑”时，用户可发现机器的硬盘以及软驱、光驱全部已经自动设置成共享状态，并且这种共享还被病毒锁死，无法改回正确的设置。这样，只要有谁愿意，都可以一览无遗地浏览用户电脑中的资料。

“傀儡虫570880”（Win32.Troj.Unknown.570880）  威胁级别：★★

        病毒进入电脑系统后，在系统盘的%Program Files%\Internet Explorer\PLUGINS\目录下生成病毒文件WmiPvss.exe，并将该文件设置为隐藏模式，以躲避用户的检查。随后，它修改系统注册表，把自己的相关信息加入到启动项中，以便今后能随系统启动而自动运行。
       虽然之前病毒已经将自己设置成了隐藏文件，但当用户发现系统不正常后，肯定会设法找出所有隐藏文件进行检查。为了以防万一，病毒在修改注册表时，会把自己伪装为系统自带的核心程序，这样就算被用户发现，也容易蒙混过关。它伪装的服务名称是“WmiPvss”，描述为“Windows依赖性服务Firewall Total程序提供安全检测”。
       病毒顺利的运行起来后，就在后台启动IE浏览器的进程，并在其中运行自己的病毒代码，建立远程服务，连接到木马种植者（黑客）指定的转向地址“d**459*.3**2.org”。之后再转到黑客的远程控制端，获取最新的指令。由于是在后台启动，所以此时用户不会发现IE的窗口。
       当从远程控制端获取命令后，病毒就会在本地执行对应的操作。只要黑客愿意，他可以通过此木马任意控制用户系统中的文件、注册表和各种服务操作，将用户电脑变为“傀儡”，给用户的个人隐私和系统安全造成严重威胁。

“机器狗变种11636”（Win32.Troj.Agent.dz.11636）  威胁级别：★★

    病毒进入系统后，会释放病毒文件pcihdd.sys到 %WINDOWS%\system32\drivers\目录下，并立刻运行起来。它首先判断用户系统是否正接受着冰点还原软件和硬盘保护卡的保护，如果有，它便解除冰点还原软件和和硬盘保护卡对系统的保护。
    然后，病毒展开搜索，看看用户的windows操作系统中是否存在MS06-014和MS07-017等多个漏洞，同时也查看其它应用软件是否存在安全漏洞，如有，它接下来会查看目前的网络链接是否通畅。
    只要确定网络链接畅通，病毒就在用户无法知晓的情况下建立远程连接，从 [url]http://xx.exiao[/url]***.com/ 、 [url]http://www.h[/url]***.biz/ 、 [url]http://www.xqh[/url]***.com/ 等木马种植者指定的网址下载大量盗号木马，盗取《传奇》、《魔兽世界》、《征途》、《奇迹》等多款网络游戏的帐号和密码，严重威胁游戏玩家虚拟财产的安全。由于冰点还原软件和硬盘保护卡大多在网吧使用，因此网吧成为该病毒发作的重灾区。
    需要注意的是，此病毒运行完成后会删除自身，销毁曾进入过电脑系统的证据，使用户无法理解自己是怎么中的毒。

“飞雪无痕”（Win32.Troj.Autorun.73728）  威胁级别：★★

    病毒进入用户系统后，在系统盘的%windows%\system32\目录下释放出3个病毒文件，分别为1.inf、Remember.dll和snowfall.exe，并在各磁盘分区中生成AUTO病毒snow.exe和autorun.inf辅助文件。此后，只要用户双击打开含毒磁盘分区，病毒就会被再次激活。而如果用户试图在中毒电脑上使用U盘等移动存储器，病毒也会将其感染，借机扩大自己的传染范围。
    为了不引起用户怀疑，病毒把自己伪装成微软的Operating System文件，如果用户查看其属性，会发现它连相关版本信息都装得和Operating System文件一摸一样，可以说伪装得比较成功。
    光瞒过用户还不够，病毒还会建立映像劫持，把许多与安全有关的安全辅助软件以及著名杀软全部劫持，解除它们的武装。用户如果想打开被劫持的安全软件，它们在打开的瞬间就会被自动关闭。
    除了以上劣迹之外，此病毒没有别的破坏行为，但由于破坏了安全软件的正常运行，会造成用户电脑系统的安全等级降低，给其它恶意程序的入侵创造便利。
   
动物家园计算机安全咨询中心反病毒工程师建议：

   1、从其他网站下载的软件或者文件，打开前一定要注意检查下是否带有病毒。
  
   2、别轻易打开陌生人邮件及邮件附件、连接等。

   3、用户应该及时下载微软公布的最新补丁，来避免病毒利用漏洞袭击用户的电脑。

   4、尽量把系统帐号密码设置强壮点，勿用空密码或者过于简单。

   5、发现异常情况，请立即更新你的反病毒软件进行全盘查杀或者登陆bbs.kingzoo.com(安全咨询中心)咨询