病毒周报(081103至081109)

动物家园计算机安全咨询中心（ [url]www.kingzoo.com[/url] ）反病毒斗士报牵手广州市计算机信息网络安全协会（ [url]www.cinsa.cn[/url] ）发布：

本周重点关注病毒：

“蒋干盗书117248”（Win32.Troj.MsnThief.xh.117248）  威胁级别：★★

       针对电子邮箱帐号信息的盗号木马已经有好一阵子没出现了，几乎让人忘记了它们的存在，最近发现这种病毒又有大肆传播的苗头。
       此次发现的病毒样本具有较强的传播能力。它的文件名称为XXX.hlp样式，通过附件的形式发送给用户邮箱。如果用户是利用客户端工具（例如OutLook Express等）来接收邮件，并且工具的安全等级设置较低，那么只要用户打开邮件，哪怕没点击附件，病毒也会自动激活。
      病毒母体运行后，会先释放子文件到系统临时目录temp中，然后执行文件。病毒检测当前系统进程，随机选择进程中的一个进程名作为自己的名称。
      当顺利运行起来，该毒就建立监视，窥探用户在使用电子邮箱时输入的帐号密码。它的目标名单包括了MSN邮箱、163邮箱、sina邮箱、tom邮箱、cityyouth邮箱、chinamail邮箱等常见邮箱。
      当偷盗成功后，该毒就会利用这些邮箱发送自己的副本，扩大传染范围。并连接远程地址，下载其他病毒到本地执行。而下载，才是它最终的目的。

“QQ假消息诈骗器204800”（Win32.Troj.PophotE.at.204800）  威胁级别：★★

      这个广告木马的综合破坏能力比较强。它利用AUTO技术自动传播，当进入电脑后就运行自带的对抗模块，尝试映像劫持或直接关闭用户系统中的安全软件。然后读取中毒电脑的mac地址、功能dll文件的版本信息、以及黑客在进行攻击时用得着的其它一些数据，将它们发送到病毒作者指定的黑客服务器。
      随后，服务器回馈给该毒大量的恶意程序，以及最新的配置文件，病毒读取配置文件后，弹出一个模拟QQ消息的窗口，欺骗用户说中了大奖要用户到一个伪装成腾讯网站的钓鱼网站兑奖……这实在是一种老套和过时的诈骗手段，但由于病毒是模拟QQ系统消息弹出信息，还是有部分用户会信以为真。
      经检查，该毒的子文件会被释放在 %WINDOWS%\system\目录下，名称随机生成,而它所下载的恶意程序大部分是盗号木马。

“MSN寄生虫9216”（Win32.Troj.Undef.9216）  威胁级别：★

      此毒为一款远程木马，它的目的是将用户电脑与病毒作者指定的黑客服务器相连接，便于黑客入侵用户系统。该毒比较有意思的地方，是在于它并不是直接利用IE进行连接，而是要先搜索并注入MSN聊天工具的进程，利用MSN来开启端口，然后才能进行连接。
     病毒母体进入系统后，先判断当前帐号是否是Administrator（管理员帐号），如果是，就释放出病毒副本freeforxpdl.scr到%WINDOWS%\system32\。当修改注册表实现开机自启动后，该毒会建立一个监视程序，如果发现自己的注册表项目被修复，就立刻将其再改回去，以保证自己的顺利运行。
     它判断系统进程中是否存在msnmsgr.exe(MSN的进程)，在msnmsgr.exe进程中创建远程线程，利用Windows Socket系列函数开启端口，连接指定地址qi***aozn.xicp.net，然后监听端口，等待黑客发出的指令。

动物家园计算机安全咨询中心反病毒工程师建议：

   1、从其他网站下载的软件或者文件，打开前一定要注意检查下是否带有病毒。
  
   2、别轻易打开陌生人邮件及邮件附件、连接等。

   3、用户应该及时下载微软公布的最新补丁，来避免病毒利用漏洞袭击用户的电脑。

   4、尽量把系统帐号密码设置强壮点，勿用空密码或者过于简单。

   5、发现异常情况，请立即更新你的反病毒软件进行全盘查杀或者登陆bbs.kingzoo.com(安全咨询中心)咨询