病毒周报(080616至080622)

病毒周报(080428至080504)动物家园计算机安全咨询中心（ [url]www.kingzoo.com[/url] ）反病毒斗士报牵手广州市计算机信息网络安全协会（ [url]www.cinsa.cn[/url] ）发布：

本周重点关注病毒：

“毒蛆”（Win32.Troj.Zbot.54784）  威胁级别：★★

病毒首先释放出自己的病毒文件。它的文件有两个，分别是%WINDOWS%\System32\目录下的ntos.exe和%WINDOWS\system32\wsnpoem\目录下的audio.dll。并将它们写入系统注册表，实现开机自启动。
当成功运行起来，病毒就会注入到除CSRSS.EXE外的所有进程中运行，这样做是为了保护自己的病毒进程不被删除。同时，它修改注册表，破坏系统中已安装了的防火墙程序，以便自己能任意连接外部网络。在这个过程中，目前市面上常见的几款防火墙都会被破坏。
接着，病毒就在被感染的计算机上搜索各种看上去像帐号和密码的信息，以及电脑名称、用户的真实IP地址等信息，把它们全部发送给病毒作者。这些信息一旦到了病毒作者的手中，就会被用于更多的非法用途。
另外，此病毒还具有随机破坏用户计算机系统内的应用程序、数据库、压缩文件、图片、文档等文件的功能。一旦它执行了破坏命令，用户就将遭遇无法估计的损失。在发作的最后，它还会修改IE浏览器的数据，使得IE弹出大量的广告网页，这些行为十分烦人和恶心。

“木马零件155648”（Win32.Troj.KillAv.ae.155648）  威胁级别：★★

该毒进入系统后，在系统盘的%WINDOWS%\system32\目录下释放出病毒文件msosping00.dll，然后将该文件注入系统的全部进程中，开始破坏行为。
它首先会检查注入的进程是否是安全软件，它的黑名单中包括有金山毒霸、金山密保、360安全卫士等三款安全软件，如果发现，就尝试关闭它们。
接着，病毒检测已注入的进程中是否有指定的网游进程，如有，则读取游戏进程中指定的内存信息，保存在自己的病毒文件config.ini中，然后将其发送到病毒作者指定的地址。这样，病毒作者就窃取到游戏用户的帐号信息。

“MS06-057漏洞下载器1693”（Js.Agent.bm.1693）  威胁级别：★★

一旦该毒进入系统，就立即注入系统桌面进程运行。它会检查用户的IE浏览器是否安装得有MS06-057补丁,如果没有这个补丁，就说明漏洞存在。
如果是这样，病毒便会在用户使用IE浏览器上网时，在后台悄悄从从 [url]http://cher[/url]****enie.net/news/这个由病毒作者指定的地址下载木马程序至用户电脑上，命名为u.Exe，存放于C盘根目录下。
由于病毒作者指定了存放地址为C盘，如果用户系统中没有C盘，则下载动作就无法实现。

动物家园计算机安全咨询中心反病毒工程师建议：

   1、从其他网站下载的软件或者文件，打开前一定要注意检查下是否带有病毒。
  
   2、别轻易打开陌生人邮件及邮件附件、连接等。

   3、用户应该及时下载微软公布的最新补丁，来避免病毒利用漏洞袭击用户的电脑。

   4、尽量把系统帐号密码设置强壮点，勿用空密码或者过于简单。

   5、发现异常情况，请立即更新你的反病毒软件进行全盘查杀或者登陆bbs.kingzoo.com(安全咨询中心)咨询