病毒周报(080623至080629)

病毒周报(080428至080504)动物家园计算机安全咨询中心（ [url]www.kingzoo.com[/url] ）反病毒斗士报牵手广州市计算机信息网络安全协会（ [url]www.cinsa.cn[/url] ）发布：

本周重点关注病毒：

愤怒肉鸡19825”（PE.Trafaret.a.19825）  威胁级别：★★

        被这个病毒感染的exe文件，体积会有所增大，文件的启动入口被修改为到病毒的后面。这样，当用户运行被感染文件时，病毒就能运行起来。它首先解密自己的文件，将主文件Services.exe释放到%WINDOWS%目录下。然后立即调用正常文件运行，让用户察觉不出系统异常。
        被释放出的Services.exe，会使用当前系统信息计算得到一个随机名称的文件夹，然后把自己复制到里面。这个随机文件夹会被创建在%WINDOWS%\system32\目录下。接着，病毒就修改注册表，添加该文件为启动项，让自己实现开机自动运行。并且它会不停的重写注册表，防止自己的数据被破坏。
       如果能顺利运行起来，病毒就枚举当前进程，若发现主流安全软件及反病毒工作者常用的解密工具的进程，便尝试强行停止它们。随后，它检查自身携带的下载列表，开始更新自身文件。
       当更新完成，病毒会读取最新的的IP地址表，向里面的地址不断发送访问命令，从而影响这些网址的正常运作。这很明显属于DDNO网络攻击，是一种黑客行为。
       与此同时，病毒启动感染线程，在中毒电脑上寻找正常的exe文件，将它们感染，以便等待下一次的传播。

“武装窃贼147456”（Win32.Troj.Pakes.cr.147456）  威胁级别：★★

       它进入用户系统后，会在%WINDOWS%\system32\目录下释放出两个随机命名的文件，一个是.exe格式，一个是.dll格式。其中.exe文件是病毒的主文件，病毒要想实现开机自动运行，就要将它写入注册表。
        一旦运行起来，病毒就首先篡改被感染计算机上的系统时间为过去时，致使某些依赖系统时间来进行激活和升级的安全软件失效。接着，它根据病毒作者设置的黑名单，在被感染的计算机上搜索与安全相关的软件，发现后就便强行将其关闭，这样一来就大大降低了被感染计算机上的安全性。
        同时，病毒还原系统的SSDT表，解除一些具有所谓主动防御功能的杀软的武装，并将dll文件插入到所有用户级权限的进程中加载运行，实现隐藏运行，防止被查杀。当这些工作都完成后，病毒就悄悄连接网络，从病毒作者指定的地址下载木马程序到受害电脑中运行。

“FTP资源吸血鬼135168”（Win32.Hack.Agent.135168）  威胁级别：★★

       此病毒拥有多个变种，且非常狡猾，它会伪装成Adobe Flash Player、Sun Java以及Windows操作系统的安全升级补丁。欺骗用户下载和复制。由于最近Flash漏洞问题对电脑安全影响较大，电脑用户们纷纷寻找升级补丁，这样一来，该毒变得更容易得手。
         如果进入电脑系统，它就会释放出病毒文件、设置自己为开机自启动，然后弹出相应的提示，欺骗用户说安全补丁已经安装。
而实际上，病毒这时候已经运行起来。它在系统盘中读取%Document and Settings%\当前用户\Application Data\ 和 %Document and Settings%\All Users\Application Data\ 两个路径，并进一步从它们的下层路径里读取一些关键文件，从中获知用户系统中安装的FTP软件及其版本号（比如CuteFTP这样的工具）。
        接着，它读取 %WINDOWS%\目录下的win.ini文件，从中获取另一个FTP相关文件的路径，然后读取该文件中所记录的FTP连接地址、用户名和密码信息。同时，它还会记录用户系统中与FTP有关的网页记录，将这些信息同之前偷到的信息一起，写入%WINDOWS%\目录下一个名为db32.txt的文档中，发送到病毒作者指定的地址。

“密码绑匪118784”（Win32.Encode.de.118784）  威胁级别：★★

         该毒在进入用户电脑后，拷贝自身文件MiniMessageBox.exe到系统盘的%WINDOWS%\system32\目录下，并添加自己的数据到注册表启动项，以实现开机自启动。
如果顺利地运行起来，病毒就遍历磁盘，找到所有后缀为.txt .jpg .bmp .htm等格式的文件做加密，并在加密后的文件夹中生成一个“!_VNIMANIE_!.txt”文件，文件内容为病毒作者的邮箱及联系方式，要求受害用户与其联系，支付“赎金”获取解密方法。否则就“终生囚禁”这些文件，给用户造成工作和使用的不便。如果被加密的文件是商业用途，那么将有可能使用户遭受极大的经济损失。

动物家园计算机安全咨询中心反病毒工程师建议：

   1、从其他网站下载的软件或者文件，打开前一定要注意检查下是否带有病毒。
  
   2、别轻易打开陌生人邮件及邮件附件、连接等。

   3、用户应该及时下载微软公布的最新补丁，来避免病毒利用漏洞袭击用户的电脑。

   4、尽量把系统帐号密码设置强壮点，勿用空密码或者过于简单。

   5、发现异常情况，请立即更新你的反病毒软件进行全盘查杀或者登陆bbs.kingzoo.com(安全咨询中心)咨询