病毒周报(091026至091101)

动物家园计算机安全咨询中心（ www.kingzoo.com ）反病毒斗士报：

“间谍木马变种acno”（Trojan/Win32.Zbot.acno[SPY]） 威胁级别：★★

    病毒运行后，复制自身到%System32%目录下，在该目录下衍生多个文件；修改注册表，使衍生的文件伴随userinit.exe启动以及将病毒文件加入到CMD.EXE的调用扩展中；将病毒主体添加到卡巴斯基反病毒软件的信任区域；为卡巴斯基添加新规则开放最大权限；绕过金山反病毒软件的主动防御；病毒运行完毕后删除自身。该病毒会连接网络向外发送本地机器的相关信息、下载病毒的最新版本到IE临时目录并执行，从而盗取或控制用户的计算机。

“下载者木马”（Trojan/Win32.Servill.hd[Downloader]） 威胁级别：★★

    该恶意代码文件为木马下载器，病毒运行创建互斥量名为“ffgfgh”防止病毒多次运行，动态加载ADVAPI32.DLL并分别获取该系统库中的OpenSCManagerA、OpenServiceA、ControlService、CloseServiceHandle函数，调用该函数打开服务管理器，调用OpenServiceA函数打开wscsvc防火墙的服务，调用ControlService函数关闭防火墙服务及句柄，遍历进程查找多款安全软件进程，如有则调用"taskkill"命令将其进程强行结束，创建病毒注册表服务、添加注册表映像劫持，衍生随机病毒名病毒文件到系统目录和临时目录下连接网络下载大量病毒文件，病毒运行完毕后删除自身。

“欺骗者wsti”（Trojan/Win32.FraudLoad.wsti[Downloader]）威胁级别：★★

    该病毒为木马类，该病毒利用Outlook Express邮件消息方式传播自身，病毒运行后首先检测注册表是否有该病毒文件的键值，遍历系统目录查找病毒文件是否存在，通过判断如果存在则退出进程不继续连接网络下载伪装成杀毒软件的恶意文件《AntivirusPro_2010》，否则将继续运行，创建注册表使传输指定后缀的文件不被阻止、添加注册表启动项，将自身拷贝并衍生文件到%Documents and Settings\Administrator\Application Data%\目录内，连接网络下载病毒文件并保存到该目录下，下载完毕后调用ExitWindowsEx函数重启计算机，启动计算机之后病毒再次被启动之后，在任务栏下弹出一个安全威胁警告信息，提示计算机存在安全威胁，并启动衍生的病毒文件，该文件伪装成安全软件下载器连接网络下载文件，该恶意软件利用攻击性和欺诈性与虚假的扫描检测结果，诱导用户购买下载其假冒产品。

动物家园计算机安全咨询中心反病毒工程师建议：

   1、从其他网站下载的软件或者文件，打开前一定要注意检查下是否带有病毒。
  
   2、别轻易打开陌生人邮件及邮件附件、连接等。

   3、用户应该及时下载微软公布的最新补丁，来避免病毒利用漏洞袭击用户的电脑。

   4、尽量把系统帐号密码设置强壮点，勿用空密码或者过于简单。

   5、发现异常情况，请立即更新你的反病毒软件进行全盘查杀或者登陆bbs.kingzoo.com(安全咨询中心)咨询