病毒周报(090420至090426)

动物家园计算机安全咨询中心（ [url]www.kingzoo.com[/url] ）反病毒斗士报：


“代理木马变种dbr”（Trojan/win32.Agent.dbr[Rootkit])威胁级别：★★

       该恶意文件为木马类，病毒运行后，动态加载系统DLL文件"msvcrt.dll"，该DLL是标准的微软C运行库文件，创建线程、遍历进程查找"avp.exe"找到之后退出线程，如没发现"avp.exe"进程则提升进程操作权限，衍生病毒驱动文件到%System32%\drivers目录下，命名为"kvsys.sys"、"tesafe.sys"，该驱动文件删除部分安全软件服务、终止部分安全软件进程、恢复SSDT躲避杀软主动查杀，创建病毒驱动设备名为："\\.\kvsys"、"\\.\tesafe"，删除本地"hosts"文件、并重新创建一个hosts文件，劫持大量域名地址，添加病毒注册表服务，衍生病毒文件"fsrtdfyyvuu.exe"到临时目录下，调用函数打开衍生的病毒文件，获取磁盘启动器类型，遍历目录查找所有后缀是EXE的文件，并且在非系统盘的可执行文件中释放大量"usp10.dll"文件，病毒运行完后删除自身。

“dnf木马”（Trojan/Win32.OnLineGames.uuhu[GameThief]）威胁级别：★★

      该病毒为盗取网络游戏dnf游戏账号的木马，病毒运行后检测%System32%目录下是否存在*.dll文件，如果存在更改其文件名；复制系统文件sfc_os.dll，加载sfc_os.dll文件副本并调用其中相关函数禁用系统文件保护；移动系统文件comres.dll，尝试在系统目录和字体目录下分别衍生病毒文件comres.dll，在系统字体目录下衍生病毒文件gth60328.ttf；遍历进程列表查找巨人游戏客户端进程"dnf.exe"，并将之关闭。调用comres.dll文件中的ins函数删除原始病毒文件。病毒不会对注册表进行操作，病毒通过替换系统文件comres.dll的方式来实现随机启动，被替换的comres.dll文件被加载后将截获用户信息调用gth60328.ttf文件将信息回传给病毒作者。

动物家园计算机安全咨询中心反病毒工程师建议：

   1、从其他网站下载的软件或者文件，打开前一定要注意检查下是否带有病毒。
  
   2、别轻易打开陌生人邮件及邮件附件、连接等。

   3、用户应该及时下载微软公布的最新补丁，来避免病毒利用漏洞袭击用户的电脑。

   4、尽量把系统帐号密码设置强壮点，勿用空密码或者过于简单。

   5、发现异常情况，请立即更新你的反病毒软件进行全盘查杀或者登陆bbs.kingzoo.com(安全咨询中心)咨询