病毒周报(100315至100321)

动物家园计算机安全咨询中心（ www.kingzoo.com）反病毒斗士报：

“骗取者”（Trojan/Win32.QQPass.rrf[stealer]） 威胁级别：★★

    该病毒运行后，创建窗体，调用系统API函数将窗口最小化到托盘，获取注册表QQ安装位置，添加启动项；释放加密文件到系统根目录下，读取内容后将其删除；修改系统host文件，使访问腾讯官方网站、深圳市公证处网站指向恶意网站；遍历系统进程，反制反病毒软件；该病毒运行一定时间后会在系统托盘图标假冒腾讯信息提示，如果双击该提示会显示假冒的腾讯系统消息，并要求用户点击查看详细信息进入恶意网站hxxp://www.qq.com.qkisc.cn/。此网站为钓鱼网站。

“记录间谍”（Trojan/Win32.KeyLogger.bsx[Spy]） 威胁级别：★★

    该病毒图标为jpg格式文件图标；该文件是由一个图片文件和一个病毒文件用winrar组成的自解压复合文件；病毒运行后衍生病毒文件到%Windir%目录下，衍生图片文件到%Windir%\temp下，用以迷惑用户；修改注册表添加启动项，使病毒文件随机启动；病毒运行后记录当前用户的键盘操作，保存到%Windir%目录下的winhlp32.hlp文件中；连接FTP服务器，将捕获的键盘数据发送到指定的目录。该病毒通过病毒作者向攻击目标的email地址发送邮件的方式进行传播。

“间谍木马”（Trojan/Win32.Zbot.agnw[SPY]） 威胁级别：★★

    病毒运行后，复制自身到%System32%目录下，在该目录下衍生多个文件；修改注册表，使衍生的文件伴随userinit.exe启动以及将病毒文件加入到CMD.EXE的调用扩展中；将病毒主体添加到卡巴斯基反病毒软件的信任区域；为卡巴斯基添加新规则开放最大权限；绕过金山反病毒软件的主动防御；病毒运行完毕后删除自身。该病毒会连接网络向外发送本地机器的相关信息、下载病毒的最新版本到IE临时目录并执行，从而盗取或控制用户的计算机。

动物家园计算机安全咨询中心反病毒工程师建议：

   1、从其他网站下载的软件或者文件，打开前一定要注意检查下是否带有病毒。  

   2、别轻易打开陌生人邮件及邮件附件、连接等。

   3、用户应该及时下载微软公布的最新补丁，来避免病毒利用漏洞袭击用户的电脑。

   4、尽量把系统帐号密码设置强壮点，勿用空密码或者过于简单。

   5、发现异常情况，请立即更新你的反病毒软件进行全盘查杀或者登陆bbs.kingzoo.com(安全咨询中心)咨询