病毒周报(080128至080203)

动物家园计算机安全咨询中心（ [url]www.kingzoo.com[/url] ）反病毒斗士报牵手广州市计算机信息网络安全协会（ [url]www.cinsa.cn[/url] ）发布：

本周重点关注病毒：

“伪装下载者3584”（Win32.MiniDrop.3584）  威胁级别：★★

    病毒进入电脑系统后，在系统盘的%WINDOWS%\system32\目录下释放出4个病毒文件，它们分别为.exe、.dll、.ini、.ini2后缀的文件。需注意的是，这4个文件采取随机命名，但不论采用怎样的名称，文件名都只有5个字符，这就可以做为辨认它们的一个特征。
    同时，病毒修改注册中的相关数据，将自己添加到系统自启动项，实现随windows系统启动而运行之目的。它会注册为浏览器帮助对象，骗取用户的信任，当用户启动资源管理器或IE浏览器时，就会自动加载病毒文件。
    病毒运行起来后，会侵入explorer.exe、spoolsv.exe等系统进程中，创建一个rundll32.exe进程，运行之前生成的.dll病毒文件。并且，病毒会定时检查自己的进程是否在运行中，若未运行便重新创建一个病毒进程，以保证自己的犯罪行为能持续进行。
    最后，病毒悄悄连接 [url]http://www.o3[/url]*6*.com这个由木马种植者指定的地址，下载更多其它病毒到用户电脑上运行，给用户的系统安全带来无法估计的威胁。


“广告宣传单983040”（Win32.Troj.Autorun.ex.983040）  威胁级别：★

    病毒进入系统后，首先将自己的病毒文件ridiap080124.exe复制至%WINDOWS%\system32\目录下，并在系统盘中生成四个病毒文件，分别是%WINDOWS%\目录下的ie.ini，%Documents and Settings%\All Users\「开始」菜单\程序\启动\目录的word.lnk，%WINDOWS%\system32\目录下的mcdsrv16_080124.dll和mcdsrv32_080124.dll。释放完文件后，病毒就建立批处理程序，把自己的原始文件删除，使用户无法发现病毒源。
    病毒会利用word.lnk快捷方式指向病毒主文件ridiap080124.exe来达到开机启动，然后查找“瑞星”和“卡巴斯基”等的警告窗口，如发现则模拟发送按钮消息跳过查杀。同时还注入系统桌面的进程iexplorer.exe，在进程中查找并关闭“瑞星”、“卡巴斯基”、“360安全卫士”等安全软件的进程。
    解决掉安全软件后，病毒尝试将自身伪装成Browser Helper Objects的进程（微软IE浏览器对第三方程序员开放交互接口的业界标准），并将自己添加到IE保护工具白名单中，删除系统中用于记录网址的hosts文件，为自己接下来的破坏行为铺平道路。
    如顺利完成以上工作，病毒便连接木马种植者指定的地址，获取一份网址信息，自动登录其中的网站，为它们增加访问和“贡献”流量。同时，它还会利用QQ窗口传播包含病毒信息的消息，扩大自己的传播范围。

动物家园计算机安全咨询中心反病毒工程师建议：

   1、从其他网站下载的软件或者文件，打开前一定要注意检查下是否带有病毒。
  
   2、别轻易打开陌生人邮件及邮件附件、连接等。

   3、用户应该及时下载微软公布的最新补丁，来避免病毒利用漏洞袭击用户的电脑。

   4、尽量把系统帐号密码设置强壮点，勿用空密码或者过于简单。

   5、发现异常情况，请立即更新你的反病毒软件进行全盘查杀或者登陆bbs.kingzoo.com(安全咨询中心)咨询