病毒周报(091130至091206)

动物家园计算机安全咨询中心（ www.kingzoo.com）反病毒斗士报：

“控制者”（Backdoor/Win32.Hupigon.jdmi） 威胁级别：★★

    该病毒为灰鸽子变种，病毒运行后复制自身到系统目录，重命名为widows.exe，并删除自身。创建服务，以服务的方式达到随机启动的目的。连接网络下载远程控制端IP地址，主动尝试上线。上线成功后，远程控制端能够对用户机器进行键盘记录，屏幕监控，摄像头抓图，文件操作，进程操作等远程控制。

“偷取者木马”（Trojan/Win32.Sasfis.vbw） 威胁级别：★★

    病毒运行后释放随机病毒名文件*.tmp到临时目录下，动态加载E.tmp病毒文件，调用该文件的hfburt模块，该模块代码进行了加密处理，该模块被调用后开启一个svchost.exe进程，拷贝E.tmp到%System32%目录下命名为wdni.buo，并将wdni.buo添加到被开启的svchost.exe中，修改注册表使用rundll32.exe为开机启动衍生的rundll32.dll病毒，病毒运行完后删除自身文件。

“修改者木马faf”（Trojan/Win32.StartPage.faf[Dropper]）威胁级别：★★

    该病毒为木马类，病毒运行后遍历进程，查找杀软相关进程并关闭；删除桌面上的IE浏览器图标，创建一个执行指定主页的网站，在系统目录下衍生病毒配置文件，修改host文件屏蔽部分网址导航网站并将其导航到指定页面；修改注册表添加启动项，修改ie浏览器的默认主页；连接指定的网站发送本地用户相关的信息。

“DNF偷取者”（Trojan/Win32.Vilsel.mry[GameThief]） 威胁级别：★★

    该恶意代码文件为DNF游戏盗号木马，该病毒文件为初始化后病毒数据，以获取本地系统时间作为随机值来创建以kb****.dll的随机病毒名文件 ，删除临时目录下的~t11.tmp、~t22.tmp文件，拷贝系统imm32.dll文件到临时目录下，命名为~t11.tmp并在文件尾部添加一个节名为.ss32向该节写入485字节数据，备份系统imm32.dll文件，动态加载"sfc_os.dll"系统文件，调用该库文件序号为#5的函数来去掉对imm32.dll文件的保护，将imm32.dll拷贝到临时目录下命名为~t22.tmp，然后将病毒修改后的~t11.tmp拷贝到系统目录下替换现有的imm32.dll系统文件，以系统库文件开自动加载病毒文件，删除~t11.tmp文件，拷贝病毒源文件到系统目录下命名为kb118151019.dll，匹配所有进程中的0040728C内存地址的数据是否与病毒查找的数据匹配，如果找到则强行结束其进程，释放BAT批处理文件删除病毒源文件，查找含有“提示码”的窗口，找到之后通过读取内存地址数据获取游戏账号密码信息。以上条件成立后，读取游戏目录的.\start\usersetting.ini配置文件获取用户所在服务器相关信息，截取含有windows 图片和传真查看器、画图、acdsee、internet explorer的窗口，找到包含以上标题的窗口后自动截取并保存到临时目录下命名为tmpimg2.jpg、tmpimg2.bmp，将截取到的账号密码及图片以URL或email方式发送到作者指定的地址中。

动物家园计算机安全咨询中心反病毒工程师建议：

   1、从其他网站下载的软件或者文件，打开前一定要注意检查下是否带有病毒。

  

   2、别轻易打开陌生人邮件及邮件附件、连接等。

   3、用户应该及时下载微软公布的最新补丁，来避免病毒利用漏洞袭击用户的电脑。

   4、尽量把系统帐号密码设置强壮点，勿用空密码或者过于简单。

   5、发现异常情况，请立即更新你的反病毒软件进行全盘查杀或者登陆bbs.kingzoo.com(安全咨询中心)咨询