病毒周报(080915至080921)

动物家园计算机安全咨询中心（ [url]www.kingzoo.com[/url] ）反病毒斗士报牵手广州市计算机信息网络安全协会（ [url]www.cinsa.cn[/url] ）发布：

本周重点关注病毒：

“上兴木马变种1105920”（Win32.Hack.RWX.sw.1105920）  威胁级别：★★

        该毒的母体进入用户系统后，在%Program Files%\Common Files\Microsoft Shared\MSInfo\目录和%WINDOWS%\systemr\目录下释放出病毒文件mstcs.exe，其中%WINDOWS%\systemr\目录下的mstcs.exe前面多了条下划线，成了_mstcs.exe 。
       作为病毒的主文件，mstcs.exe会被写入注册表启动项，使病毒实现开机自启动。如果顺利起来，它就注入IEXPLORER.EXE和calc.exe，实现进程守护，当其中一个进程被终止时，另一个进程立刻重新启动被终止的进程，防止自身被删除。
       它收集系统信息，发送到病毒作者指定的网站 [url]http://www.9[/url]***e.com，黑客收到这些信息后，就能对用户系统进行各种想要的操作，比如文件上传下载、屏幕监控、视频(摄像头)监控、音频监控、键盘记录，系统监控，操纵中毒机器进行网络攻击等。

“暴力清洗下载器32768”（Win32.TrojDownloader.VB.32768）  威胁级别：★★

        此下载器对系统的破坏性较高，因为它除了执行下载外，还会删除所处目录下所有的exe格式文件。
        如果该毒进入C盘或D盘并运行起来，就会搜索并删除当前目录下的所有exe文件，同时遍历当前进程，关闭p2pnetworking.exe、p2pnetwork.exe、winlog.exe、csrrs.exe等进程。
       随后，它从 [url]http://homepage.nt[/url]****ld.com/nrclarky这个由病毒作者指定的地址下载两个文件dr.exe和install.exe，将它们存放到到当前目录并运行。这两个文件是同个病毒文件的不同副本，如果一个下载失败，就下载另外一个。
        当下载完成，该毒便创建脚本，删除自己的原始文件。

“死循环恶作剧16384”（Win32.RiskWare.Shutdown.c.16384）  威胁级别：★★

       该病毒对系统没有直接的破坏行为，但是它会造成用户的电脑不断的自动重启，让用户无法正常工作。该毒近来感染量有所上升。
      它进入用户系统后，就立即在当前目录下运行起来。它行为很简单，在获取两个未公开的函数、篡夺系统的操作权限后，就发出ShutdownReboot指令，让系统瞬间重启。在此过程中，用户完全来不及保存正在进行的任务。
      而之后，它会不断的重启系统，让用户不能正常开展工作，由于频繁重启，甚至有可能引起电脑的硬件故障。综合它的行为来看，可以判定其为恶作剧程序，但很明显，病毒作者的这个玩笑开得有些过头。

动物家园计算机安全咨询中心反病毒工程师建议：

   1、从其他网站下载的软件或者文件，打开前一定要注意检查下是否带有病毒。
  
   2、别轻易打开陌生人邮件及邮件附件、连接等。

   3、用户应该及时下载微软公布的最新补丁，来避免病毒利用漏洞袭击用户的电脑。

   4、尽量把系统帐号密码设置强壮点，勿用空密码或者过于简单。

   5、发现异常情况，请立即更新你的反病毒软件进行全盘查杀或者登陆bbs.kingzoo.com(安全咨询中心)咨询