病毒周报(080721至080727)

病毒周报(080428至080504)动物家园计算机安全咨询中心（ [url]www.kingzoo.com[/url] ）反病毒斗士报牵手广州市计算机信息网络安全协会（ [url]www.cinsa.cn[/url] ）发布：

本周重点关注病毒：

“破坏型广告刷子61440”（Win32.HackTool.DownLoader.d.61440）  威胁级别：★★

       这个广告木马进入用户电脑的最终目的，是迫使用户系统的IE浏览器自动登录指定的网页，替这些网页刷流量。不过，由于它在运行过程中会破坏系统的大量数据，造成电脑运行异常，因此，危害性较强。
      在进入系统后，该毒将自己的副本拷贝到%WINDOWS%目录和%WINDOWS%\system32目录下，并随机命名。接着，病毒就修改注册表，创建服务来运行这两个副本。并删除安全模式的注册表项。
      当病毒运行起来，它会搜索系统中的各种窗口，只要发现有用户自己打开的IE窗口，以及任何与反病毒、系统安全有关字样的窗口，就将它们关闭。用户唯一能够浏览的网站，只有病毒自带的网址列表中的那些广告站点，十分让人气愤。
      在病毒弹出的网页中，有一些是恶意网站，充满了各种恶意文件，一旦浏览，就可能被感染。另外，该毒具有较强的感染能力，会感染除C盘以外全部磁盘分区中的exe文件。

“延迟下载器81920”（Win32.Troj.VB.kr.81920）  威胁级别：★★

      这个下载器在进入用户电脑后，不会马上运行，它会先等待10分钟。
      10分钟后，病毒运行起来，它会查找并强行中止麦咖啡、瑞星、木马克星、360安全卫士等安全软件的进程，以便自己随后的行动能顺利完成。如果发现一些具有主动防御功能的安全软件无法中止，那么它还会连接病毒作者指定的地址，下载相应的驱动文件来恢复SSDT表。
      为确保能完全清除自己可能受到的威胁，病毒建立映像劫持，劫持名单中包括了知名品牌的安全产品，以及一些系统安全工具。
      解决掉安全软件的威胁，病毒就从指定地址 [url]http://ps.[/url]**go52o.com下载一份病毒列表，以vbb.exe的名称保存到%windows\%system32\目录下运行，然后利用它下载更多其它病毒。

“PE木马模块135”（PE.loader.d.135）  威胁级别：★

        这个蠕虫可以实现独立的传播。它在进入用户的电脑系统后，就会搜索正常的dll格式文件，将自己附加到其中，当dll文件被系统调用时，它就能跟着运行起来。
        不过，这个蠕虫本身对系统没有破坏能力。它在运行起来后，会读取系统中一些关键文件的数据，获取自己下一步运行需要的API函数。
       之后，病毒读取自己代码中包含的木马其它模块的名称和路径，与这些模块取得联系，加载它们，帮助它们运行起来。以达到病毒作者所希望的目的。因此，如果用户在自己的电脑里发现了此毒，则说明某个木马已经进入系统中。

动物家园计算机安全咨询中心反病毒工程师建议：

   1、从其他网站下载的软件或者文件，打开前一定要注意检查下是否带有病毒。
  
   2、别轻易打开陌生人邮件及邮件附件、连接等。

   3、用户应该及时下载微软公布的最新补丁，来避免病毒利用漏洞袭击用户的电脑。

   4、尽量把系统帐号密码设置强壮点，勿用空密码或者过于简单。

   5、发现异常情况，请立即更新你的反病毒软件进行全盘查杀或者登陆bbs.kingzoo.com(安全咨询中心)咨询