病毒周报(080602至080608)

病毒周报(080428至080504)动物家园计算机安全咨询中心（ [url]www.kingzoo.com[/url] ）反病毒斗士报牵手广州市计算机信息网络安全协会（ [url]www.cinsa.cn[/url] ）发布：

本周重点关注病毒：

"非法扫描仪747520”（Win32.Troj.Agent.bw.747520）  威胁级别：★★

    这个病毒是个黑客程序，黑客可以借助它对用户的系统进行非法扫描，并实现对用户电脑的完全控制。它本身的技术含量并不高，但近来传播范围较大
    病毒在进入系统并被激活后，就会复制自己的文件LVScom.exe到系统盘的%WINDOWS%\system32\目录中，然后删除原始文件，防止用户发现系统中出现多余的文件。接着，它就在注册表中添加自己的多个启动项，实现开机自启动。
    最后，病毒自动连接某病毒作者指定的地址，接受指定的指令后，对中毒电脑进行非法扫描。然后按照指令的不同，执行不同的操作。由于指令可以是多样的，病毒作者（黑客）也就可以对中毒电脑进行任何他想要的操作。

“MS06-014漏洞下载器1792”（JS.Downloader.qw.1792）  威胁级别：★★

    近来漏洞利用脚本病毒数量增加较快，而其中关于MDAC的漏洞脚本占了大多数。所谓的MDAC（Microsoft Data Access Components）是微软数据库访问组件，它广泛存在于安装有WINDOWS操作系统的用户的电脑中。
脚本病毒的体积小，可利用感染数据库文件和网页挂马等方式传播，传染速度较快。如果用户利用未打上MS06-014安全补丁的电脑浏览网页或运行含毒文件，漏洞脚本病毒就可以在系统中运行起来。
它运行后会在后台连接病毒作者指定的远程地址 [url]http://www.d[/url]**io.com/，下载一个名为Microsoft.com的木马程序到本地临时文件夹%tmp%中执行。由于采用Microsoft.com这个名字，很多用户会忽略它。

“黑客后门程序20480”（Win32.Hack.Pangu.a.20480）  威胁级别：★★

这个后门程序会将自己的相关数据添加到系统注册表中，创建服务gu7788gu来加载文件，使自己能够随系统启动。
为了欺骗用户，服务gu7788gu的描述信息是“客户端和服务器之间的 net send 和 alerter 服务消息。此服务与 windows messenger 无关。如果服务停止，alerter 消息不会被传输。如果服务被禁用，任何直接依赖于此服务的服务将无法启动”
同时，病毒修改系统注册表，将自身添加到windows防火墙的例外列表中，这样它就可以绕开系统安全模块的封锁，与外部网络自由通讯。
完成以上步骤后，病毒就删除自己的原始文件，防止用户察觉系统中出现多余的东西。并连接远程端口61.1*8.*8.1*4：8001，等待病毒作者（黑客）的控制指令。
手动杀毒则可以在%WINDOWS%\system32\目录下找到病毒文件notepde.exe。

“播放器漏洞脚本2136”（JS.Agent.tv.2136）  威胁级别：★★

从数周前开始，RealPlayer的漏洞利用病毒数量开始异常增多，动物家园反病毒斗士几乎每天都能截获到大量利用RealPlayer漏洞进行破坏的脚本病毒，相信这种情况与病毒制作集团不断开发新的病毒生成器有较大关系。
此篇预警播报中的病毒是众多RealPlayer漏洞利用脚本病毒中的一个变种，它和其它变种一样，都是利用网页挂马和捆绑视频文件的方式进行传播。只要用户浏览被挂马的网站，或者播放了含毒视频文件，病毒就可以在用户系统中发作。
病毒运行起来后在后台建立远程连接，从病毒作者指定的地址 [url]http://www.d[/url]**io.com下载一个病毒文件，并保存到系统盘的%WINDOWS\system32\目录下，命名为%a.exe。
受此毒影响的RealPlayer版本为6.0.10.4，安装得有该版本的用户请尽快下载升级文件

“肉鸡猎人81920”（Win32.Troj.Downloader.vb.81920）  威胁级别：★★

病毒进入系统后，在系统盘中释放出大量的病毒文件，其中病毒主文件SoundMan.exe隐藏在%WINDOWS%目录中，而%WINDOWS%\system32\目录下则隐藏着interne.exe、Man.exe、qoq.exe、no1.ini、notepde.exe、note2.ini、ttjj5.ini等。
病毒修改注册表，以最快的速度完成对冰刃、木马克星、360安全卫士的映像劫持，使它们无法运行。病毒还试图劫持毒霸的进程，不过经检验无法成功。另外，它还会劫持系统的输入法模块和资源管理器，令用户无法手动查杀病毒和通过本机向外求援。除了映像劫持外，病毒也通过关闭进程、修改系统时间的方法来破坏其它多家知名安全软件的正常运行。
接着，病毒建立一个新的系统帐户，设法获得全部用户组的管理权限，让用户几乎完全无法操作电脑。在此之后，病毒就连接到病毒作者指定的远程地址，下载大量盗号木马到用户电脑中运行，把用户偷个一干二净。
偷完东西后，病毒不会就此停止运行。它会建立扫描程序，对用户系统的一些敏感端口进行扫描等行为，将用户电脑变成任由病毒作者（黑客）控制的“肉鸡”。并且，如果中毒电脑位于局域网中，病毒还会试图把自己传染到其它正常的电脑上，扩大自己的传染范围。

动物家园计算机安全咨询中心反病毒工程师建议：

   1、从其他网站下载的软件或者文件，打开前一定要注意检查下是否带有病毒。
  
   2、别轻易打开陌生人邮件及邮件附件、连接等。

   3、用户应该及时下载微软公布的最新补丁，来避免病毒利用漏洞袭击用户的电脑。

   4、尽量把系统帐号密码设置强壮点，勿用空密码或者过于简单。

   5、发现异常情况，请立即更新你的反病毒软件进行全盘查杀或者登陆bbs.kingzoo.com(安全咨询中心)咨询