病毒周报(081124至081130)

动物家园计算机安全咨询中心（ [url]www.kingzoo.com[/url] ）反病毒斗士报牵手广州市计算机信息网络安全协会（ [url]www.cinsa.cn[/url] ）发布：

本周重点关注病毒：

“监督员木马112778”（Win32.Troj.OnLineGames.ad.112778）  威胁级别：★★

       此黑客木马具有一定程度的对抗能力，在进入系统后，它会搜索并尝试关闭RSTray.exe、360TRAY.EXE、360SAFEBOX.EXE、360SAFE.EXE、SAFEBOXTRAY.EXE等进程。它们分别是瑞星卡卡和360安全卫士的相关进程，如果被关闭，卡卡和360将被屏蔽。
       病毒文件Iasno.dll会被释放到%WINDOWS%目录下，它会被写入注册表服务项，以便随着开机而自启动。为了骗过用户的注意，它会为自己添加描述为“监测和监视新硬件设备并自动更新设备驱动”。
       当完成以上步骤，该毒就开启一些敏感端口，在后台连接病毒作者指定的远程地址，等待黑客入侵。它的部分变种还拥有盗号的功能，会盗取一些流行网游的帐号。

“伪杀软广告机105403”（Win32.RiskWare.XPAntiSpywar.i.105403）  威胁级别：★★

       这个病毒通过将自己伪装成一款名为“XP_Antispyware”的杀毒软件来进行传播，病毒作者甚至为它设计了一些看上去比较权威的安全网站，只要用户登录，就会弹出提示，说在用户的电脑系统中发现病毒，要求用户立刻下载这款伪杀软。
       如果用户选择下载，该毒就会从多个地址下载多份病毒文件，放置到临时目录%temp%中，并进一步复制到%programfiles%\XP_Antispyware目录下。
       其中一个名为wscui.cpl的文件会被转移到%WINDOWS%\system32\目录下，并改名为_scui.cpl，然后病毒调用系统自身的rundll32.exe进程来加载该病毒文件。如果顺利运行，该毒就能完成修改注册表启动项、母体复制等操作。
       当一切准备就绪，该毒就原形毕露，开始不断的弹出广告窗口，并记录下用户的操作和上网习惯。发现上当的用户肯定会想要删除它，但是却会发现将控制面板设置被锁定为经典模式，根本找不到“添加删除”选项。如此一来，该毒就可以长期霸占用户的系统了。

动物家园计算机安全咨询中心反病毒工程师建议：

   1、从其他网站下载的软件或者文件，打开前一定要注意检查下是否带有病毒。
  
   2、别轻易打开陌生人邮件及邮件附件、连接等。

   3、用户应该及时下载微软公布的最新补丁，来避免病毒利用漏洞袭击用户的电脑。

   4、尽量把系统帐号密码设置强壮点，勿用空密码或者过于简单。

   5、发现异常情况，请立即更新你的反病毒软件进行全盘查杀或者登陆bbs.kingzoo.com(安全咨询中心)咨询

 

原文地址： [url]http://bbs.kingzoo.com/thread-22490-1-1.html[/url]