病毒周报(080804至080810)

病毒周报(080428至080504)动物家园计算机安全咨询中心（ [url]www.kingzoo.com[/url] ）反病毒斗士报牵手广州市计算机信息网络安全协会（ [url]www.cinsa.cn[/url] ）发布：

本周重点关注病毒：
  
“精确制导监视器”（Win32.Troj.Agent.km.52224）  威胁级别：★★

这个木马没有固定的文件名，它进入系统后，就把自己复制到%WINDOWS%\system32\目录下，名字随机生成，并删除原始文件。然后就修改注册表，将自己设置为开机自启动。
病毒运行起来后，会注入桌面进程explorer.exe，隐蔽运行，并连接病毒作者指定的地址6*.2*.1*8.221，下载最新版本的自己，实现更新，然后就开始作案。
它对用户最大的威胁，在于它能够读取IE的缓存，记录用户的网页浏览记录，以及用户使用msn、google、yahoo、aol、icq等搜索引擎时所输入的关键词记录。同时，它还会检查用户使用的浏览器是哪种。当这些数据被发送到病毒作者手中，可能会被用于统计用户的上网习惯，以帮助病毒作者有针对性的开发广告木马。
另外，此木马有个特点，就是病毒作者能够给它指定发作地区。它检查系统中Control Panel\International的键值iCountry、Nation，判断当前电脑的所在国家，如果发现是病毒作者指定的国家，就立即运行，如果不是，则沉默等待。这是病毒作者实现“精确攻击”的办法，这使得他们能获取最准确的某区域用户信息。

“僵尸网络连接器118272”（Win32.TrojDownloader.Cntr.cg.118272）  威胁级别：★★

这个木马程序的主要危害在于，它能够穿透系统自带的防火墙，连接多个远程服务器接收指令。
进入电脑后，病毒释放自己的文件msserv.exe到%windows%目录下，并将其添加到注册表启动项，实现开机自启动。然后修改%windows%\system32\目录下的系统防火墙文件netsh.exe，使其允许该病毒连接网络。
接下来，病毒启动系统中自带的时间管理程序，连接WINDOWS官方的时间服务器，同步世界时间。只要完成这一行为，它便会立即打开端口UDP:8809，以及TCP端口，连接病毒作者指定的多个远程服务器。这些服务器分布于全球多个国家和地区，它们可能会构成一个僵尸网络。
一旦用户电脑成为僵尸网络中的一员，那么电脑中的资料将会被黑客自由调用，并且电脑会被用于攻击其它正常电脑，沦为“肉鸡”。

“机器狗变种53248”（Win32.Troj.DownLoaderT.mr.53248）  威胁级别：★★

此下载器的原始文件进入系统后，释放出病毒文件ctfmon.exe到系统盘%WINDOWS%\目录下，另外两个文件Upack.exe和ctfmon.exe会被释放到系统盘根目录下。然后，它判断当前进程里是否存在BKPCLIENT.EXE和MENU.EXE（贝壳磁盘保护）2个进程，如不存在，就写驱动穿还原系统。
然后，病毒把系统桌面进程explorer.exe复制到系统盘根目录中，命名为tempdat.dat，再将自己的数据写入原来的explorer.exe中，这样，它就可以随着桌面的启动而自动运行起来。
当成功运行起来，此毒便连接指定的远程地址，下载一份病毒列表，根据其中的地址，下载更多其它木马到%WINDOWS%\system32\目录下运行，下载一个运行一个。这就造成系统资源逐渐被吞噬，电脑运行越来越慢。
它所下载的木马，大部分是盗号器，可能对用户的虚拟财产构成威胁。另外，由于ctfmon.exe这个病毒文件与系统的托盘区拼音图标文件同名，可能会给用户构成迷惑。

“感染型下载器102400”（Win32.ADA.a.102400）  威胁级别：★★

病毒进入电脑后，获取系统的部分函数地址，利用它们来加载自己，释放出病毒文件1.tmp_bak.exe 到%Documents and Settings%\Administrator\Local Settings\Temp目录下。
它会查找%WINDOWS%\system32\目录下的mssmss.exe，若发现没有这个文件，就将自己以此名称拷贝到该地址，并设置属性为系统|隐藏。
当修改完注册表，实现开机自启动，该毒开始感染系统中的文件。它搜索所有的EXE、HTM、HTML、PHP、ASP等格式文件，把自己的病毒代码附加上去。这样就能随着这些文件的复制实现传播。
此下载器还具有一定程度的对抗能力，当成功运行起来，它会搜索并关闭360安全卫士，同时修改系统时间，另依赖系统时间运行的卡巴斯基等安全软件瘫痪。
以上步骤全部完成后，病毒就连接 [url]http://i[/url]***en.yh****s.com/iedown/down这个由病毒作者指定的远程服务器，下载大量的木马文件。

动物家园计算机安全咨询中心反病毒工程师建议：

   1、从其他网站下载的软件或者文件，打开前一定要注意检查下是否带有病毒。
  
   2、别轻易打开陌生人邮件及邮件附件、连接等。

   3、用户应该及时下载微软公布的最新补丁，来避免病毒利用漏洞袭击用户的电脑。

   4、尽量把系统帐号密码设置强壮点，勿用空密码或者过于简单。