病毒周报(081208至081214)

动物家园计算机安全咨询中心（[url]www.kingzoo.com[/url]）反病毒斗士报：

本周重点关注病毒：

 

“超级AV终结者”（Win32.TrojDownloader.NsPassT.bm.50688）  威胁级别：★★★

       该下载器结合了AV终结者、机器狗、扫荡波、autorun病毒的众多特点，行为及其恶劣。它主要是利用MS08067漏洞在局域网内传播，对抗安全软件，下载大量的木马。由于带有穿透功能，对网吧和局域网用户影响很大。
       此病毒非常狡猾，它在进入系统后，不会立即运行，而是查找系统中是否存在OllyICE.exe、OllyDbg.exe、ImportREC.exe、C32Asm.exe、LordPE.exe、PEditor.exe等反病毒工作人员经常使用的工具，如果存在，就会立刻关闭自己、退出运行。很明显，它想刻意逃避反病毒工程师的分析。
       而该毒的危害性主要体现在它强大的对抗能力。由于同时综合了AV终结者、机器狗、扫荡波的特点，从未有任何病毒的对抗能力像此毒一样凶猛。它在进入系统后，首先会恢复系统SSDT表，一旦SSDT表被恢复，就意味着该毒可以穿透任何一款系统还原软件的防线。
       同时，它按照自带的一份“黑名单”搜索安全软件，只要发现用户安装得有安全软件，就调将其关闭。动物家园反病毒斗士检查它的“黑名单”后发现，这份名单非常庞大，几乎所有网上能搜索到的安全软件，都是该毒的关闭目标。
       事情还没完，如果仅仅是关闭，那么用户还可以重新启动这些安全软件。病毒作者当然不会允许这种事情发生，他给病毒设置了映像劫持功能，劫持这些安全软件的进程。如果用户试图启动它们，唯一的结果就是把病毒再激活一次而已。而为阻止用户向安全软件厂商求助，病毒会屏蔽许多安全软件的官网。
       当解决了“碍事”的安全软件，病毒才放心大胆的读取用户MAC地址，并解密自己的配置文件，获取下载列表，下载大量的盗号木马到用户电脑中运行――这才是它的最终目的。
       该毒在成功占领一台电脑后，就开始对局域网内的其它电脑实施攻击。它搜索局域网中所有存在MS08067漏洞的电脑，利用漏洞将自己发送到这些电脑上。同时，对所有的电脑展开ARP攻击，劫持用户所浏览网页上的链接，如果用户点击链接，就会被引导到病毒作者安排好的广告网址，或者下载包括该毒在内的一些恶意程序。为确保攻击成功，该毒还会释放出一个扫荡波病毒，协助自己进行攻击。
       必须提及的是，该毒的ARP攻击频率达到令人惊讶的地步，在动物家园反病毒斗士的测试中，该毒对局域网的ARP攻击竟然高达每分钟1万次以上，在三分钟不到的时间里，就能阻塞由数百台电脑组成的局域网。当攻击达到最高峰时，电脑甚至连病毒作者自己指定的网址也无法访问，这种现象可谓是疯狂至极。
       仅仅在局域网中传播，病毒作者并不满足。为实现更大范围的传播，该毒在执行上述破坏过程时，还会遍历驱动器，在非a:\和b:\的磁盘分区的根目录下创建AUTO文件autorun.inf和system.dll。一旦用户在中毒电脑上使用U盘等移动存储设备，病毒就会自动将其传染。当在U盘插入另一台电脑时，它又会将该电脑传染，这样就实现了自动传播。
综合目前对该毒的分析，以及实际的染毒测试来看，该毒无疑今年目前为止所发现最凶猛的病毒之一。
       据动物家园反病毒斗士的监测，目前该毒仍在进化中，病毒作者似乎对参考学习其它对抗型病毒的“功夫”很感兴趣，几乎每个变种都会加入新的对抗手段。病毒更新的频率也比较高，每天都会有更新，这也就造成了传统的查杀办法难以应对该毒威胁。

“无量盗号器90112”（Win32.Hack.PcClient.al.90112）  威胁级别：★★

        该盗号木马在对抗安全软件方面做了不少工作。它一进入用户的电脑系统，就尝试通过进程快照，关闭卡巴斯基、NOD32、、金山毒霸、瑞星等常见的杀毒软件，并删除系统防火墙的相关文件，确保自己在发送赃物时不会受到阻碍。
病毒对含有yahoo、google、live、comcast.net、worldofwarcraft、wow-europe等字段的网页进行监控，只要发现用户在这些网页上输入看上去像帐号和密码的数据，就将其记录下来。而为了确保用户是用IE登录，它会搜索firefox.exe等其它浏览器，发现后就删除。
       同时，它利用修改进程内存的方法，让用户在使用雅虎通、MSN、《魔兽世界》等即时通讯软件和游戏时，把帐号和密码自动记录一份到病毒的配置文件中。
       最后，该毒建立远程连接，将偷到的数据打包加密，发往病毒作者指定的接收地址。


“异型熊猫”（win32.bmw.j.75783）  威胁级别：★★

       病毒自己复制到%system32%\drivers\suchost.exe，每隔6秒就执行一次对抗安全软件文件的命令，对抗方式共三种：关闭它们的进程、删除其关键文件、删除其注册表启动项，“三管齐下”，确保能够对抗成功。
       病毒每隔一秒钟就添加一次自己的启动项，并持续破坏文件夹的显示模式，使得系统无法显示出隐藏的文件，达到隐藏自己的目的。而即便用户设法恢复了文件夹的显示模式，它还会采取给自己文件使用杀毒软件图标的办法来进行最后的欺骗。
       当一切准备就绪，该毒就连接远程服务器，下载大量的其它木马。同时，遍历磁盘，在各磁盘分区中生成能随着U盘自动传播的AUTO文件。
       病毒还会感染扩展名为exe,pif,com,src的文件，把自己附加到文件的头部，并在扩展名为htm、html、 asp、php、jsp、aspx的文件中添加一个广告网址，用户一但打开了该文件，IE就会不断的在后台点击写入的网址，达到增加点击量的目的。而且该网页上挂有木马。

动物家园计算机安全咨询中心反病毒工程师建议：

   1、从其他网站下载的软件或者文件，打开前一定要注意检查下是否带有病毒。
  
   2、别轻易打开陌生人邮件及邮件附件、连接等。
   3、用户应该及时下载微软公布的最新补丁，来避免病毒利用漏洞袭击用户的电脑。
   4、尽量把系统帐号密码设置强壮点，勿用空密码或者过于简单。
   5、发现异常情况，请立即更新你的反病毒软件进行全盘查杀或者登陆bbs.kingzoo.com(安全咨询中心)咨询