病毒周报(091214至091220)

动物家园计算机安全咨询中心（ www.kingzoo.com ）反病毒斗士报：

“代理木马”（Trojan/Win32.Agent.bqou） 威胁级别：★★

    该病毒为木马类，病毒运行后复制自身到系统目录，并重命名，衍生病毒文件，并删除自身。修改注册表，添加服务项，以达到随机启动的目的。删除注册表中的服务项，修改注册表项以关闭错误报告。主动连接网络，更新病毒文件，下载相关病毒文件信息。该病毒通过恶意网站、其它病毒/木马下载传播，可以盗取用户敏感信息。


“魔兽窃贼”（Trojan/Win32.Agent.dczu[Stealer]） 威胁级别：★★

    该恶意代码文件为魔兽世界游戏盗号木马，病毒运行后判断注册表内是否存在要查询的键值，遍历进程查找wow.exe进程，如找到则遍历进程先查找avp.exe如果找不到则查找KVMonXP.exe进程，如果找到avp.exe后休眠2000ms后判断自身文件进程是否是临时目录下的TW9454.tmp路径文件，如不是则将自身移动到临时目录下并命名为TW9454.tmp，之后退出，如果找到KVMonXP.exe进程后试图拷贝%System32%目录下的lpk.dll命名为syslpk.dll后将病毒自身替换为lpk.dll文件（未成功失败），伪装成系统DLL文件来躲避安全软件的查杀，如果2个进程都找不到则衍生病毒DLL文件直接到临时目录下命名为wfsjowfdsaw.dll，并动态加载该病毒DLL文件，通过病毒DLL文件安装消息钩子截取游戏账号密码，试图将病毒DLL文件注入到所有进程中，并将自身拷贝到临时目录下并命名为TW9454.tmp，将截图到的账号信息以URL方式发送到作者指定的地址中。

动物家园计算机安全咨询中心反病毒工程师建议：

   1、从其他网站下载的软件或者文件，打开前一定要注意检查下是否带有病毒。
  
   2、别轻易打开陌生人邮件及邮件附件、连接等。

   3、用户应该及时下载微软公布的最新补丁，来避免病毒利用漏洞袭击用户的电脑。

   4、尽量把系统帐号密码设置强壮点，勿用空密码或者过于简单。

   5、发现异常情况，请立即更新你的反病毒软件进行全盘查杀或者登陆bbs.kingzoo.com(安全咨询中心)咨询