病毒周报(080414至080420)

动物家园计算机安全咨询中心（ [url]www.kingzoo.com[/url] ）反病毒斗士报牵手广州市计算机信息网络安全协会（ [url]www.cinsa.cn[/url] ）发布：

本周重点关注病毒：

“ARP蜗牛745472”（Win32.TrojDownloader.Delf.745472）  威胁级别：★★

    ARP病毒最令人无法忍受的地方就是它对网速的影响。整个局域网中，只要有一台电脑中了ARP，其余电脑的网速都会被拖后腿，严重时甚至会死机。
    该病毒进入用户系统后，释放文件、并修改系统注册表实现自动运行。当它成功运行后，会欺骗局域网内所有主机和路由器，向它们发送大量垃圾信息，并冒充成网关，让所有上网的数据都必须经过中毒电脑。
    在这个过程中，由于其他用户原来是直接通过路由器上网，而现在转由通过病毒主机上网，那么在切换的时候就会断一次线。等再连接上后，网速就会越来越慢，直到掉线。给用户的使用造成极大不便。
    喜欢手动杀毒的用户，可在系统盘中找到病毒释放出的五个病毒文件，分别为%WINDOWS%\system32\目录下的packet.dll、wanpacket.dll、wpcap.dll，以及%WINDOWS%\Cache\目录下的Arpmm.exe，还有%WINDOWS%\system32\drivers\目录下的npf.sys。另外需告知大家的是，该病毒具备自我删除功能，运行完毕后，它就会自我删除，使得用户难以找到它。

“赤水牛”（Win32.Troj.AutoRun.204800）  威胁级别：★★

    这只“赤水牛”是一个黑客后门程序，刚开始时，此毒造成影响范围并不大，但最近却有扩散的趋势，种种迹象表明，有人正在故意散播该病毒。因此，我们就需要了解一下它的破坏过程，以备防范。
    此病毒进入用户电脑后，在系统盘的%WINDOWS%\system32\目录下释放出病毒文件chiShuiNiu.exe，同时，它将该文件的同名副本与一个AutoRun.inf文件隐藏在系统盘根目录下。只要用户在中毒电脑上使用U盘等移动存储设备，病毒就会立即传染上去，借以传播到别的电脑上。
    病毒的破坏行动在它释放完文件后立即开始。它首先会修改%WINDOWS%\system32\dllcache\目录与%WINDOWS\%system32\drivers\目录下的系统驱动文件beep.sys，让系统对自己下一步的破坏“敞开大门”。接着，它修改注册表启动项，实现开机自启动。在这个过程中，病毒会映象劫持包括杀毒软件在内的所有可执行文件。
    完成以上步骤后，如果用户试图运行杀毒软件进行查杀，病毒就会强行关闭杀毒软件，并且阻止用户上网搜寻有关chishuiniu.exe的任何信息。此外，所有牵涉到查寻、阻止、隔离chishuiniu.exe的程序被打开后，都会被强行关闭，连注册表也不能正常打开。可是用户在进程管理器中却看不出任何异常。

“风花雪月”（Win32.WinFlower.ha.95232）  威胁级别：★★

    爱情总是在风花雪月的烂漫中随风轻扬，无论最终结果如何，总能留下一下值得回忆的东西。作家用文字记录爱情，乐师以旋律表现爱情，至于不善表达的程序员，他们展示自己心境的方法当然也就是通过代码了。
    它是一个黑客后门程序，通过感染EXE格式文件的方式来进行传播。说它与爱情有关，是因为病毒作者会利用这个病毒来传播一个名为WindFlowerSnowMoon.love（中文意思就是“风花雪月”）的文件，用记事本打开后，可以看到这是一封英文情书，病毒作者在信中表达了自己对东北财经大学经济学专业某女生的仰慕，称自己“I fell in love with her at first sight，and I love her very much.....”。
    整封信看上去很浪漫，经分析，该病毒除了传播这封情书外，还会在用户电脑中制造一个后门，它随机生成监听端口，等待黑客服务器端的连接。如果黑客进入了用户电脑，就能进行各种他想要的操作，给用户带来无法估计的损失。
    该病毒的主文件隐藏在系统盘windows目录下，名称是Rundll32.exe。另外，它还将自身拷贝到系统盘%Program Files%文件夹的一些常用软件目录中，例如%Program Files%\Internet Explorer\、%Program Files%\Windows Media Player\等目录，在这些目录中，病毒名称为WindFlowerSnowMoon.exe。

动物家园计算机安全咨询中心反病毒工程师建议：

   1、从其他网站下载的软件或者文件，打开前一定要注意检查下是否带有病毒。
  
   2、别轻易打开陌生人邮件及邮件附件、连接等。

   3、用户应该及时下载微软公布的最新补丁，来避免病毒利用漏洞袭击用户的电脑。

   4、尽量把系统帐号密码设置强壮点，勿用空密码或者过于简单。

   5、发现异常情况，请立即更新你的反病毒软件进行全盘查杀或者登陆bbs.kingzoo.com(安全咨询中心)咨询