病毒周报(080714至080720)

病毒周报(080428至080504)动物家园计算机安全咨询中心（ [url]www.kingzoo.com[/url] ）反病毒斗士报牵手广州市计算机信息网络安全协会（ [url]www.cinsa.cn[/url] ）发布：

本周重点关注病毒：

“灰鸽子下载器363520”（Win32.Hack.Huigezi.363520）  威胁级别：★★

        这个下载器病毒具有很强的感染性。每当它进入到一个新的电脑中，就会在所有的磁盘分区下生成文件setup.exe与AutoRun.inf，只要用户双击进入含毒分区，病毒就会被运行起来，搜索是否有U盘等移动存储设备，将其感染，以便能传染到别的电脑上，由于这两个文件都被设置为隐藏模式，用户不容易发现它们。
同时，该毒还会利用感染exe文件来进行传染。
       它的对抗能力也较强。进入系统后，该毒会通过搜索窗口关键字的方式，判断用户系统中是否安装得有安全软件，如有，则将其强行关闭。由于病毒自带的关键词库较大，已知的大部分安全软件都是它的目袭击标。
       当该毒在用户电脑里顺利运行起来，它便悄悄连接到指定的远程地址，每隔20分钟下载一次其它病毒运行。经动物家园反病毒专家分析，这些病毒文件都是网游或网银盗号木马，由于其中一些具有全局键盘记录功能，还有可能对用户的商业机密和个人隐私构成威胁。
       此外，该毒针对企业、网吧等局域网用户设置有ARP攻击功能。它每隔半小时就搜索一次局域网内的电脑IP，向整个网络发起攻击，严重影响网速。并尝试破解其它电脑的口令，好将自己传染到这些电脑上。

“网络红娘变种364544”（Win32.Hack.RedGirl.m.364544）  威胁级别：★★

       该毒在进入用户电脑后，是无法自动运行起来的，它必须由用户点击运行。为欺骗用户点击，它把自己伪装为一个安装文件图标，如果用户运行了它，它就弹出一张美女图片复制自身文件mywlhn.exe到系统盘%WINDOWS%\system32\目录中，并由该文件释放出另一个文件mywlhn.dat。
      接着，它新建线程监视系统内金山毒霸、卡巴斯基、瑞星、微点等杀毒软件，入发现它们试图弹出警告窗口，就抢先模拟鼠标按键消息，点选放行选项，并将自己的病毒文件添加为“可信”。光是这样，病毒仍不放心，它下一步干脆直接关闭这些杀毒软件的进程。
       在对付杀软的同时，病毒修改注册表实现自动启动，然后利用IE浏览器创建远程线程，加载之前生成的mywlhn.dat，用它来连接黑客指定的远程服务器，接收监控端命令，达到控制中毒电脑的目的。

“广告跳转器183296”（Win32.Adware.Cinmus.183296）  威胁级别：★★

       病毒在进入系统后，会在当前目录下运行起来。它读取注册表中的相关数据，让自己可以控制IE浏览器的指向。这样，当用户启动IE浏览器时，它就可以令IE跳转到病毒作者指定的地址4*.32.2*1.118，让用户看上面的广告，并给这些网站刷流量。同时，根据病毒作者的下一步指令，这个广告木马还可以具备别的功能。
       该病毒具有防重复运行功能，它在进入一台电脑后，就会生成一个互斥体，以避免自己的其它副本进入此台电脑后造成重复运行。

动物家园计算机安全咨询中心反病毒工程师建议：

   1、从其他网站下载的软件或者文件，打开前一定要注意检查下是否带有病毒。
  
   2、别轻易打开陌生人邮件及邮件附件、连接等。

   3、用户应该及时下载微软公布的最新补丁，来避免病毒利用漏洞袭击用户的电脑。

   4、尽量把系统帐号密码设置强壮点，勿用空密码或者过于简单。

   5、发现异常情况，请立即更新你的反病毒软件进行全盘查杀或者登陆bbs.kingzoo.com(安全咨询中心)咨询