病毒周报(080908至080914)

动物家园计算机安全咨询中心（ [url]www.kingzoo.com[/url] ）反病毒斗士报牵手广州市计算机信息网络安全协会（ [url]www.cinsa.cn[/url] ）发布：

本周重点关注病毒：

劫持者下载器208896”（Win32.Hack.ReSSDT.p.208896）  威胁级别：★★

       该毒进入系统后，在%WINDOWS%\system32\drivers\目录下释放出随机命名的子文件。然后搜寻并尝试结束DrvAnti.Exe（驱动防火墙的进程）。接着，它创建服务启动，来还原系统SSDT表，这样可以使一些所谓具有“主动防御”功能的杀软失效。
       接着，它枚举系统中的进程，劫持电脑中已安装的杀毒软件。该毒的劫持名单非常庞大，几乎所有知名的杀软都是它的目标。当然，劫持归劫持，至于是否能成功，那就看各杀软的查杀能力了。。
       当解除了电脑的防护，该毒读取自己配置文件中的地址信息，从指定的远程地址下载一份最新的病毒列表，根据其中的地址，下载更多的木马文件到用户电脑中运行，引发更多无法估计的破坏。

“伪装卫士43008”（Win32.Troj.360Tay）  威胁级别：★★

       病毒的母体进入电脑后，搜索系统%WINDOWS%\system32\目录中是否有360tay.exe文件，如有就中止其进程，然后删除该文件。接着，将自己复制到该目录下，并命名为360tay.exe，完成“偷天换日”。
       随后，该毒将自身注册为系统服务，名为“360Tay”，DisplayName为“360安全防护软件”，伪装成360安全卫士。它一旦运行起来，首先会释放资源区文件，恢复系统的SSDT表，令用户安装的还原软件失效，接着便从病毒作者指定的地址下载大量其它木马文件，或上传用户的某些文件。
       除了下载木马，该毒还具有攻击其它电脑或网站的功能。它创建大量线程，向指定目标地址发送大量的垃圾数据，严重消耗网络带宽，让用户无法正常上网，十分烦人。

“网络安全后门 57344”（Win32.Backdoor.Netsecurity）  威胁级别：★

        这个后门木马有两个病毒文件，路径分别为%WINDOWS%\inf\netip4.Dll和C:\WINDOWS\system32\Setup\netsecurity.exe。它进入电脑后就添加注册表，创建名为“NetSec”的系统服务，设置开机自启动netsecurity.exe，并将netip4.dll加载到IExplorer中。
       当用户下一次开机时，木马便会运行起来。它创建远程连接，与 [url]http://wsx.S[/url]***ilt.se:8888这个由病毒作者指定的远程控制主机取得联系，如果连接建立成功的话，根据返回的信息选择进一步的操作。
       根据黑客发出的指令，此木马能执行下载其它木马、获取系统信息、操作所处电脑等几乎任何指令。

动物家园计算机安全咨询中心反病毒工程师建议：

   1、从其他网站下载的软件或者文件，打开前一定要注意检查下是否带有病毒。
  
   2、别轻易打开陌生人邮件及邮件附件、连接等。

   3、用户应该及时下载微软公布的最新补丁，来避免病毒利用漏洞袭击用户的电脑。

   4、尽量把系统帐号密码设置强壮点，勿用空密码或者过于简单。

   5、发现异常情况，请立即更新你的反病毒软件进行全盘查杀或者登陆bbs.kingzoo.com(安全咨询中心)咨询