病毒周报(081117至081123)

动物家园计算机安全咨询中心（ [url]www.kingzoo.com[/url] ）反病毒斗士报牵手广州市计算机信息网络安全协会（ [url]www.cinsa.cn[/url] ）发布：

本周重点关注病毒：

“捕食网下载器”（Win32.Troj.DownLoadT.bm.102400）  威胁级别：★★

       自从MS08-67漏洞公布以来，大量针对此漏洞的病毒木马大量涌现，刚处理完“扫荡波”带来的威胁，动物家园反病毒斗士小组又捕获了另一个利用MS08-67漏洞的病毒，运行原理与“扫荡波”大同小异，因此提醒广大用户注意防范。
      此病毒运行后，释放出多个子文件，其中比较重要的一个是%WINDOWS%\system32\drivers\目录中的驱动文件winsawids.sys，另一个是%WINDOWS%\system32\目录中的jiocs.dll。病毒会利用系统自身的rundll32.exe进程来加载自己的文件，实现自启动和隐蔽运行。
      该毒每次运行时会解密一段数据，然后将这段数据发送到驱动，由驱动将这段数据创建为可执行文件，并执行这段文件。如可以成功运行，它便能够下载其它盗号木马和自己的最新版本到中毒机器中。同时，搜索局域网以及外网的同一网段，只要发现未打MS08-67补丁、并且防火墙被关闭的电脑，就进行入侵，继续进行更大范围的传播。

“地下城盗贼102400”（Win32.Troj.Agent.tz.102400）  威胁级别：★★

       该毒在释放出大量的子文件后，就搜索tenqqaccount.dll、DNF.exe、QQLogin.exe等QQ游戏的相关模块，开始执行盗号操作。在此过程中，它会替换电脑里的多处文件，比如系统文件csrss.dll和rpcss.dll，以及QQ游戏中自带的驱动文件TesSafe.sys。
      这些文件都是与系统安全有关的，将它们替换为自己的文件，当病毒执行盗号任务时，玩家就不会收到任何安全提示，直到发觉帐号丢失也是一头雾水，不知道是什么时候被盗的。
      该毒的变种比较多，部分变种由于病毒作者配置的原因，在杀毒软件对它们进查杀时，可能导致系统崩溃蓝屏，让系统与它们“同归于尽”。

号外：“奸商修改器”（Win32.troj.profiteer.271360）  威胁级别：★★★  （注意此是恶意度，不是病毒传染度）

       动物家园反病毒斗士小组近日发现，一款能修改Thinkpad笔记本硬件配置信息的病毒，它是一个修改器程序，能对从T43开始、到酷睿2时代T60之间的所有机型进行修改，让低配置的水货机甚至完全冒牌的机器，看上去和正品行货机的配置完全一样。
       通过对该修改器的分析，动物家园反病毒斗士小组发现，此毒极有可能是不法商人找人“量身定制”的，奸商们借助多种形式，将一些Thinkpad笔记本换芯，然后通过刷bios和利用此修改器来进行掩盖。被此修改器动过手脚的机器，无论是系统属性还是CPU信息，查看起来都是正常的。而由于笔记本在使用中，Intel的 Speedstep技术还会降频，因此在性能上也感觉不到多大差异。也就是说，用户很可能用了很长时间的Thinkpad水货，也不知道自己其实是当了冤大头。
       该毒的修改过程比较复杂，总结该毒的4点特征：

1.系统的%WINDOWS%system32\目录中都存在smssa.exe和smssb.exe两个进程，将它们强制关闭后，cpu频率会明显降低。
2.利用Bios工具进行查看，cpu数据显示正常，但其版本日期都为05年11月7日。
3.在smssa.Exe和smssb.Exe进程运行状态下，通过cpu-z等检测工具检测出来的值    都为修改后的值，且cpu信息那栏不停的闪动。
4.大多数问题都出现在水货Thinkpad笔记本。
以前也曾有修改电脑配置数据的修改器被曝光，但它们只是在装机初期进行安装，修改完后就会被删除。而此次发现的“奸商修改器”则是长期驻留在系统中，并且可以骗过大部分硬件配置查看工具的检查。


动物家园计算机安全咨询中心反病毒工程师建议：

   1、从其他网站下载的软件或者文件，打开前一定要注意检查下是否带有病毒。
  
   2、别轻易打开陌生人邮件及邮件附件、连接等。

   3、用户应该及时下载微软公布的最新补丁，来避免病毒利用漏洞袭击用户的电脑。

   4、尽量把系统帐号密码设置强壮点，勿用空密码或者过于简单。

   5、发现异常情况，请立即更新你的反病毒软件进行全盘查杀或者登陆bbs.kingzoo.com(安全咨询中心)咨询