病毒周报(091116至091122)

动物家园计算机安全咨询中心（ www.kingzoo.com ）反病毒斗士报：

“霸族变种cldn”（Trojan/Win32.Buzus.cldn[Proxy]） 威胁级别：★★

    该病毒为蠕虫类病毒，该病毒文件对API函数进行了加密处理，病毒运行后解密部分API函数，将自身创建到进程中，读取内存MZP标志，查找内存空间地址，并比较，申请内存空间将病毒代码写入到内存空间，在进程中创建线程释放病毒文件到%System32%目录下，修改注册表达到启动病毒的目的，连接网络。

“控制者”（Trojan/Win32.Agent.aggr[Dropper） 威胁级别：★★

    该恶意代码文件为远程控制后门类木马，病毒运行后创建Server.tmp病毒文件到临时目录下，写入126976字节病毒数据，动态加载Server.tmp文件，解密病毒资源信息包括（病毒的连网上线地址、端口、服务名），将Server.tmp移动到%System32%目录内，调用rundll32.exe命令隐藏启动病毒DLL文件，添加注册表病毒服务使服务达到开机自启动目的，病毒运行完后调用CMD删除自身文件，开启SVCHOST.EXE进程连接到作者指定的地址，等待接收病毒作者发送的控制指令，被感染的机器会被病毒作者完全控制释放批处理文件用于删除病毒自身文件。

“盗号木马”（Trojan/Win32.OnLineGames.vugj[GameThief]） 威胁级别：★★

    该恶意代码文件为雅虎奇摩盗号木马类，该木马程序采用了加密处理，目的为了躲避安全软件对其查杀，病毒运行后创建批处理文件到病毒原文件所在目录下，来修改系统时间将系统时间设置为2004年，等待15000MS后再次创建批处理将系统时间设置回当前正确的系统时间，目的为了使安全软件过期失效从而对其无法主动监控查杀15000MS后病毒文件足以创建完毕，创建病毒DLL并拷贝病毒自身文件到Windir\Help目录下，并将属性设置为隐藏，试图将病毒DLL文件注入到所有进程中，病毒文件创建完后，释放批处理文件用于删除病毒原文件体，遍历“yahoobuddymain”窗口，利用消息钩子、内存截取等技术盗取用户的账号、密码、身份证号等信息，并在后台将窃得的信息发送到作者指定的收信地址。


“vb木马laj”（Trojan/Win32.VB.laj[Dropper]） 威胁级别：★★

    该病毒为木马类，病毒运行后复制自身到系统目录，衍生病毒文件。修改注册表，添加启动项，以达到随机启动的目的。添加防火墙规则到Windows Firewall授权软件列表，使病毒穿透防火墙不受阻挡。强行设置主页，修改hosts文件信息。主动连接网络，下载相关病毒文件信息。

动物家园计算机安全咨询中心反病毒工程师建议：

   1、从其他网站下载的软件或者文件，打开前一定要注意检查下是否带有病毒。
  
   2、别轻易打开陌生人邮件及邮件附件、连接等。

   3、用户应该及时下载微软公布的最新补丁，来避免病毒利用漏洞袭击用户的电脑。

   4、尽量把系统帐号密码设置强壮点，勿用空密码或者过于简单。

   5、发现异常情况，请立即更新你的反病毒软件进行全盘查杀或者登陆bbs.kingzoo.com(安全咨询中心)咨询