病毒周报(080811至080817)

病毒周报(080811至080817)动物家园计算机安全咨询中心（ [url]www.kingzoo.com[/url] ）反病毒斗士报牵手广州市计算机信息网络安全协会（ [url]www.cinsa.cn[/url] ）发布：

本周重点关注病毒：
  
“精确制导下载器28672”（Win32.Troj.Tibs.kj.28672）  威胁级别：★★

        此木马会将自己的文件winds32.exe释放到%WINDOWS%\System32\目录中，因为文件名与WINDOWS系统的许多进程相似，一些用户可能会将其忽略。
病毒首先会修改注册表，实现开机自启动，然后通过模拟用户设置，利用系统命令使windows防火墙允许病毒程序连接网络，这样一来，它就能在未来的操作里自由连接远程服务器了。
       这个下载器有个特点，它能够针对不同地区、不同配置的电脑，下载相应的木马。病毒获取当前系统cpu型号、系统语言版本、操作系统版本等信息，再根据这些信息选择不同的下载地址。这种“智能”下载法，可大大提高病毒的作案效率。
       当一切准备就绪，病毒就连接其作者指定的地址 [url]http://su[/url]***ount.net/a*v/058/adload.php读取下载列表，再根据其中的地址，下载更多的木马程序到%windows%\system32\目录下运行。
       经动物家园反病毒斗士检查，被下载的木马，多为网游、网银盗号器，以及一些远程控制木马。如果它们成功进入电脑，可能会带来无法估计的损失。
                          
“远程控制下载器367616”（Win32.Hack.sdbot）  威胁级别：★★

        这个木马的主要威胁表现在，它能够连接远程服务器，发送用户系统信息，帮助黑客控制用户电脑。
        病毒文件schrars.exe会被释放到%WINDOWS%\system\中，并被写入注册表启动项，以服务的方式实现开机自启动。服务名为RasAuto，习惯手动查杀的用户可对此留意。
        当启动成功，木马就获取用户权限，解密自身数据，获得病毒作者指定的黑客远程地址，将用户电脑的系统版本、计算机名、内存大小、病毒自身版本等信息，加密后发送过去，然后，就等待黑客服务器发回指令。根据指令，木马可以执行任何黑客想要的操作。
        此外，此木马还具有下载器功能。它会从指定的地址，下载其它木马程序，从而给用户带来更多麻烦和损失。
  
“键盘记录下载器23040”（Win32.Agent.obk）  威胁级别：★★

       此木马采用高级语言编写，它本身是一个键盘记录器，能够记录用户输入的各种数据，并将它们发送到病毒作者指定的邮箱中。该木马有两个病毒文件，分别是EECDE.exe和FCE37.exe，被释放在系统目录中。
       其中，EECDE.exe是病毒主文件，它会被写入注册表启动项，实现开机自启动，记录用户输入的数据并发送到指定邮箱。同时，它将IE浏览器引导到一个诈骗网页sca**er.anvi-sca**er.com，弹出提示说正在扫描病毒，并且检查出病毒，要求用户必须下载指定杀毒软件。如果用户允许，实际上被下载的只会是一堆别的木马。
      至于FCE37.exe，它是另一个木马下载器Win32.TrojDownloader.VB.102400，它会连接病毒作者指定的远程服务器，下载更多病毒木马。

艾妮变种17920”（Win32.Troj.LwyMum.ua.17920）  威胁级别：★★

       这个木马程序最早就有出现，近来再次出现变种。它对系统的威胁表现在能够映像劫持大量的安全软件，造成电脑失去安全保护。并且，它能够帮助黑客控制用户电脑。
       病毒进入电脑后，将主文件36Otray.exe释放到系统盘%WINDOWS%\system\目录下。由于此文件名与安全软件360安全卫士的文件相似，一些用户可能会被欺骗。同时，它在所有的磁盘分区中释放出AUTO文件ntldr.exe与ntldr.exe，只要用户在中毒电脑上使用U盘等移动存储设备，病毒就可以将其感染，实现传播。
       当病毒发作，它就修改注册表，将包括赛门铁克、金山毒霸、360安全卫士在内的一些常见安全软件劫持。接着，连接到病毒作者指定的地址，等待黑客命令。在此木马的帮助下，黑客可以自由控制用户电脑。

动物家园计算机安全咨询中心反病毒工程师建议：

   1、从其他网站下载的软件或者文件，打开前一定要注意检查下是否带有病毒。
  
   2、别轻易打开陌生人邮件及邮件附件、连接等。

   3、用户应该及时下载微软公布的最新补丁，来避免病毒利用漏洞袭击用户的电脑。

   4、尽量把系统帐号密码设置强壮点，勿用空密码或者过于简单。

   5、发现异常情况，请立即更新你的反病毒软件进行全盘查杀或者登陆bbs.kingzoo.com(安全咨询中心)咨询