病毒周报(081027至081102)

动物家园计算机安全咨询中心（ [url]www.kingzoo.com[/url] ）反病毒斗士报牵手广州市计算机信息网络安全协会（ [url]www.cinsa.cn[/url] ）发布：

本周重点关注病毒：

验证机捆绑下载器2048”（Win32.Troj.Downloader.dr.2048）  威胁级别：★★

       微软的“黑屏正版验证”在电脑用户中引发了许多讨论，如何通过正版验证成了很多用户最感兴趣的话题。有资深网友制作了过微软正版验证的验证机，免费提供给广大电脑用户，一时间，这类工具深受网民的欢迎。不过，对病毒作者来说，他们也绝不会放弃这种传播恶意软件的好机会。
       近日截获的一款病毒下载器，它就是将自己捆绑在一个过微软WINDOWS正版验证的验证机中进行传播的。病毒作者利用捆绑工具，将它捆绑在验证机上，并精心地重新打包，在网上散布，诱惑使用盗版WINDOWS的网民下载。当用户下载了验证机，并激活运行后，该毒就会被释放出来单独运行。
       它在运行的过程中，不会对注册表进行任何修改，十分“绿色”，以确保不引起用户怀疑。但它和所有的木马下载器一样，会在后台秘密连接病毒作者指定的远程地址。它下载的多个木马文件，名称会采取qq.exe、360.exe、360cn.exe等，试图迷惑用户，其实都是别的下载器。

“图片杀手”（Win32.Troj.Agent.iv.151552）  威胁级别：★★

       它主要利用网页挂马和U盘等移动存储设备进行传播，同时具备了木马下载器、广告弹射工具，以及文件破坏的功能。而给用户带来最大痛苦和烦恼的，就是它的文件破坏行为。
        该毒在进入电脑后，会立刻开始搜索全部磁盘分区中的gif、jpg等格式的图片文件，用自己的副本或下载的病毒替换它们，并将其改名为“原名称+一大段空格”的exe格式。由于是从文件头部开始执行重写，原来的图片将被彻底破坏，目前尚无有效的修复方法。
       至于下载木马和弹出广告页面，除了下载量巨大、多为新病毒，以及弹出广告多为血腥暴力、色情内容外，执行过程和别的下载器、广告机差不多。
       为保证自己运行顺利，该毒在执行以上步骤的同时，会搜索系统中是否安装得有一些国际上流行的安全软件，模拟用户发送关闭指令，尝试将它们关闭。同时，它建立至少两个进程，相互守候，如果其中一个被用户或安全软件关闭，另一个就立即将其复活。如果用户试图进入安全模式手动杀毒，会发现这是不可能的，该毒已经把安全模式给破坏了。你也许会想起自己安装过ghost工具，但很可惜，ghost备份文件也在它的破坏名单中。
       目前还无法获知病毒作者进行这种彻底破坏的动机，以前网络上也曾出现过修改图片文件的病毒，但大多是为了逼迫用户购买“解药”，勒索钱财。但此病毒在破坏图片文件时，则是完全不留后路。电脑一旦受到攻击，就只能白白损失图片文件。
       病毒作者制作新变种的频率较高，电脑中存放有大量图片文件的电脑用户，比如美术师、摄影师、图片数据库管理员等，应特别注意防范。一定要打齐补丁、开启防火墙和网页防挂马功能、尽量少去不知名的下载站点，并常使用反病毒软件进行检测。

“克隆机器狗139264”（Win32.Troj.Down.a.139264）  威胁级别：★★

       病毒运行后，会先解密要使用到的字符串，在%WINDOWS%\system32\目录下生成一个4位随机字母名的exe文件，这是它的主文件。
       接着，它检查进程中是否存在drvanti.exe，这是某种网吧驱动防火墙软件的进程。如果该进程不存在的话，病毒就直接修改注册表，添加自己到系统启动项中，并覆盖系统文件debug.exe为病毒副本。而如果存在，它则先读取一段系统函数，调用自带的驱动，穿透该防火墙，然后再进行注册表修改和覆盖debug.exe。
       除对抗上述的驱动防火墙软件，该毒还会搜索系统中是否安装得有360安全卫士，如有，则尝试通过修改配置文件sprotect.ini的方法，将360安全卫士的安全防御等级降为0。
       当解决了安全软件，该毒就在后台悄悄连接网络，下载大量其它病毒文件，经检查，这些病毒大部分为盗号木马程序。
       该毒比较狡猾的地方在于，它会识别用户是否利用修改盘符的办法躲避病毒。在运行前，它会检查系统中的C盘是否为光盘镜像、可移动存储器等不适合感染的对象，都不是的话，就继续运行。而如果是，则立迅速自删除，避免无意义的运行和自己的样本被用户发现。

动物家园计算机安全咨询中心反病毒工程师建议：

   1、从其他网站下载的软件或者文件，打开前一定要注意检查下是否带有病毒。
  
   2、别轻易打开陌生人邮件及邮件附件、连接等。

   3、用户应该及时下载微软公布的最新补丁，来避免病毒利用漏洞袭击用户的电脑。

   4、尽量把系统帐号密码设置强壮点，勿用空密码或者过于简单。

   5、发现异常情况，请立即更新你的反病毒软件进行全盘查杀或者登陆bbs.kingzoo.com(安全咨询中心)咨询