病毒周报(081110至081116)

动物家园计算机安全咨询中心（ [url]www.kingzoo.com[/url] ）反病毒斗士报牵手广州市计算机信息网络安全协会（ [url]www.cinsa.cn[/url] ）发布：

本周重点关注病毒：

“扫荡波”（Worm.SaodangBo.a.94208）  威胁级别：★★★
       微软MS08-067漏洞公布之后，利用该漏洞发动攻击的恶意程序大量涌现。
       它利用网页挂马进行传播，病毒进入电脑后，立即对局域网内所有电脑进行扫描，只要发现它们未打MS08-067漏洞的补丁，就立即将其攻陷，往里面下载自己的最新版本和大量的其它恶意程序，主要是各类下载器和盗号木马。
       如果对网内电脑的攻击失败，这些电脑上则会出现svchost.exe出错的提示，说“svchost.exe中发生未处理的win32异常”，同时网络连接中断。用户要是发现自己的电脑中出现此情况，就说明您电脑所处的局域网内有机器中毒。这时候，您的电脑并没有中毒，但千万不可以有侥幸心理，应该立即打上MS08-067补丁，因为该毒的攻击不会仅仅一次，而且随着病毒作者对它进行升级，它会拥有更强的攻击力。
       该毒共含有四个子文件，分别是aaa.bat、mrosconfig.exe、vista.exe、qqq.sys。进入系统后，它首先调用vista.exe对本网段(C类)范围内的所有计算机的445端口进行扫描。之后，挑选出可以连上445端口的计算机保存到一个列表文件中。然后，再调用mrosconfig.exe对列表文件中的计算机发送RPC请求，使远程计算机中的svchost.exe中解析RPC路径时溢出，在远程计算机中下载一个名为ko.exe的文件并执行。
      ko.exe文件是另一个下载器，它会下载更多的其它恶意程序安装到被攻击的计算机上。目前动物家园反病毒专家在其下载清单中已发现机器狗木马和针对《QQ三国》、《完美世界》等网游的盗号木马。

“破坏王盗号器34816”（Win32.PSWTroj.Magania.34816）  威胁级别：★★

       该毒采用消息拦截的方式来盗取QQ游戏的帐号和密码，它在释放出子文件后，就会建立钩子，拦截用户输入的帐号信息。
      病毒子文件gdipro.dll、rpcss.dll、sys17002.dll会被释放到%WINDOWS%\SYSTEM32\目录下，并写入注册表启动项，实现开机自启动。其中gdipro.dll和rpcss.dll会被用于替换掉系统自身一个名为rpcss.dll的文件及其备份，使得病毒能够躲避系统安全模块和安全软件的查杀。但也正因如此，当查杀该毒时，系统就可能因失去rpcss.dll文件而运行异常，比如网络中断、无法粘贴文档等。
       而sys17002.dll则负责盗取帐号信息，盗取成功后就将赃物加密发送到病毒作者指定的地址。
       用户如果进行手动查杀，需要将上述几个文件全部删除，然后将系统文件“C:\WINDOWS\system32\srpcss.dll”改名为“C:\WINDOWS\system32\rpcss.dll”，以恢复系统自身功能。同时，需对注册表做以下两项修改：
将“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rpcss\ObjectName”改为“NT AUTHORITY\NetworkService”。
将“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rpcss\Parameters\ServiceDll”改为“%SystemRoot%\system32\rpcss.dll”
       完成以上步骤后，重启电脑，然后利用杀毒软件全盘查杀一次，系统就可以完全恢复正常了。

“后门粉碎器49152”（Win32.Troj.Agent.49152）  威胁级别：★★

        该毒的主要危害是开启用户电脑的一些敏感端口，与病毒作者设定好的黑客服务器进行连接，便于黑客进行入侵。
为扩大自己的感染范围，该毒采用了AUTO技术进行传播。每当感染了一台新的电脑，该毒就会在所有的磁盘分区中建立副本RavMon.exe，并用AutoRun.inf指向它。只要用户在中毒电脑上使用U盘等移动存储设备，该毒就会立即将移动设备感染，实现自动传播。另外，有迹象表明，该毒的部分变种会感染系统中某些格式的文件。
      病毒会在系统中释放出多个子文件，比如%WINDOWS%目录下的SVCHOST.EXE和SVCHOST.INI，以及%WINDOWS%\TEMP\目录下的9988.tmp。各文件会相互配合，绕开监控、夺取权限，最终攻陷用户电脑。

动物家园计算机安全咨询中心反病毒工程师建议：

   1、从其他网站下载的软件或者文件，打开前一定要注意检查下是否带有病毒。
  
   2、别轻易打开陌生人邮件及邮件附件、连接等。

   3、用户应该及时下载微软公布的最新补丁，来避免病毒利用漏洞袭击用户的电脑。

   4、尽量把系统帐号密码设置强壮点，勿用空密码或者过于简单。

   5、发现异常情况，请立即更新你的反病毒软件进行全盘查杀或者登陆bbs.kingzoo.com(安全咨询中心)咨询