病毒周报(080526至080601)

病毒周报(080428至080504)动物家园计算机安全咨询中心（ [url]www.kingzoo.com[/url] ）反病毒斗士报牵手广州市计算机信息网络安全协会（ [url]www.cinsa.cn[/url] ）发布：

本周重点关注病毒：

“仿真机器狗”（Win32.Troj.Downloader.ns.25088）  威胁级别：★★

    这个下载器很明显是仿照机器狗来制作的。它开始运行后，首先删除注册表中一些免疫机器狗病毒工具的启动信息，破坏目前已有的各类机器狗专杀工具的运行，并修改系统时间为2003年，让依赖系统时间进行激活和升级的杀毒软件失效。
    接着，它在系统盘的%windows%\system32\drivers\目录下释放文件7.tmp(注意，文件名是随机生成的)，并将它注入到系统桌面进程中，修改桌面进程的数据，将其变为自己的傀儡，以便执行下一步的操作。
    病毒继续运行，它搜索并替换掉所有用户对系统目录的完全控制权限，让用户完全失去对自己电脑的控制，这样一来，就能阻止用户进行手动查杀。最后，病毒在“c:\temp\”目录下释放出另一个随机命名的.tmp格式文件运行，试图连接网络执行下载。
    根据动物家园反病毒斗士的分析，由于病毒本身功能设计的问题，下载行为无法实现。但不排除病毒作者会在下一个变种中进行改进的可能。因此，对该毒需要特别注意。

“漏洞下载器9423”（JS.Agent.nl.9423.9423）  威胁级别：★★

    这个病毒是一个恶意脚本，它主要是利用网页挂马和捆绑在视频文件中进行传播。
    同时该网马还会检测系统中是否安装得有百度搜霸工具条，然后查看其中的BaiduBar.dll文件版本是否为 2.0.2.144)，如是，则利用该版本工具条的漏洞运行起来，在未经用户授权的情况下，连接病毒作者指定的地址 [url]http://xxx.c[/url]**bc.net 进行下载，将大量病毒文件引入电脑系统中。
    动物家园反病毒斗士发现，该毒也会利用暴风影音、迅雷等软件的安全漏洞进行下载。下载的病毒种类与利用百度工具条漏洞下载的有所不同，但主要种类仍为盗号木马。

“机器狗变种208896”（Win32.Troj.Agent.208896）  威胁级别：★★

    病毒运行后，会接管冰点或者硬盘保护卡对硬盘的读写操作，这样该病毒就破解了还原系统的保护，使冰点、硬盘保护卡实效。同时，几乎所有具备主动防御功能的安全软件都会失效并瘫痪。
    解除电脑的武装后，病毒便释放出自己的文件。这个版本的机器狗释放出的文件共两个，分别是“C:\Documents and Settings\All Users\「开始」菜单\程序\启动\”目录下的explorer.exe，以及C:盘根目录下的uninsep.bat。很明显，病毒是想将这两个文件释放到系统盘中，但由于它只能根据盘符来判断系统盘，因此，如果用户的系统盘盘符不是C盘，那就可以逃过一劫。
    最后，该病毒利用系统漏洞和多款应用软件漏洞，从 [url]http://xx.exiao[/url]***.com/ 、 [url]http://www.h[/url]***.biz/ 、 [url]http://www.xqh[/url]***.com/等多个网站疯狂下载数百个病毒文件。这些病毒伪装成文本文档、图片文件等，欺骗用户点击。一旦运行起来，就会引发无法估计的破坏行为。
    此外，为实现最大限度的传染，该毒还会对局域网中的其它电脑发送ARP干扰，传染这些电脑。因此，它对局域网杀伤性极大，网吧、企业等局域网用户尤其需要小心。

动物家园计算机安全咨询中心反病毒工程师建议：

   1、从其他网站下载的软件或者文件，打开前一定要注意检查下是否带有病毒。
  
   2、别轻易打开陌生人邮件及邮件附件、连接等。

   3、用户应该及时下载微软公布的最新补丁，来避免病毒利用漏洞袭击用户的电脑。

   4、尽量把系统帐号密码设置强壮点，勿用空密码或者过于简单。

   5、发现异常情况，请立即更新你的反病毒软件进行全盘查杀或者登陆bbs.kingzoo.com(安全咨询中心)咨询