病毒周报(100419至100425)

动物家园计算机安全咨询中心（ www.kingzoo.com）反病毒斗士报：

“网络僵尸”（Backdoor/Win32.Rbot.kti） 威胁级别：★★

    该病毒文件为僵尸后门类，该病毒对数据资源进行了加密处理，病毒运行后查找标题为"The Wireshark Network Analyzer"（抓包工具）的窗口，找到之后向该窗口发送WM_CLOSE消息并关闭该窗口，遍历进程查找filemon.exe、regmon.exe、procmon.exe相关进程，找到含有以上进程后病毒则退出，遍历进程，查找并结束Ollydbg.exe进程，创建病毒进程，读取病毒创建进程的基址，申请内存空间，将病毒数据写入到创建的进程内存当中，调用函数恢复进程线程句柄使进程正常运行，将自身文件拷贝到临时目录下运行，遍历进程查找多款安全软件进程找到后将其结束，连接网络请求多个网页数据下载病毒文件到本地并隐藏运行。

“传播者”（Trojan/Win32.Patched.iv[Downloader]） 威胁级别：★★

    该文件被感染式病毒所感染，感染病毒对该文件做了入口点代码修改，当用户打开被感染的文件后，先执行病毒代码，再执行正常文件的代码。执行病毒代码后切换到正常文件代码的过程：先分配临时空间，将病毒代码存放到该缓冲区内，在文件入口偏移10E处调用执行病毒代码，获取模块句柄，打开文件从文件尾部向上偏移938（2036）字节并除去正常文件的代码，然后保存到缓冲区里，将读出来的正常文件数据拷贝到入口点处覆盖掉病毒代码，创建一个线程最后跳到原入口点执行正常文件的代码，所创建的线程是运行病毒主要功能代码。在正常文件执行后，线程同时被激活，线程执行后动态加载多个系统DLL文件，遍历%System32%目录下是否存在arpcss.dll文件，如有则退出线程，如没有则找到该文件并连接网络用于下载病毒文件并将下载的病毒文件保存到临时目录下。

“QQ盗号木马”（Trojan/Win32.QQPass.shf[GameThief]） 威胁级别：★★

    该恶意代码文件为QQ盗号木马，病毒运行后查找类名为“g”，标题为“2”的窗口，删除%Documents and Settings%\当前用户\Application Data\目录下的Dg32.bak文件，并衍生Dg32.bak、Dbg.Sys、Dbg.New病毒文件到该目录下，病毒创建一个X=0，Y=0，类名为：Edit，标题为：DT4TRTDTT的隐藏窗口，动态加载病毒衍生的Dbg.Sys文件，获取并调用该病毒文件的"InitDll"、"FreeDll"模块，"InitDll"模块设置成HOOK全局钩子，以便截取QQ账号密码，添加注册表项，试图将病毒文件注入到所有进程中，Dbg.Sys病毒文件判断自身是否被注入在Qq.exe、Explorer.exe、VerclsId.exe、iexplore.exe，如不是则退出，如是则将自身拷贝一份命名为Dg32.Tmp。病毒DLL被加载之后创建2个线程，反制QQ安全中心，释放病毒驱动文件到%System32%\drivers\目录下，命名为dHook.sys，查找类名为"TXGuiFoundation"，标题为“放弃清除提示”、qq安全中心的窗口，找到后发送WM_KEYDOWN按键点击消息，被感染的用户会被病毒作者窃取QQ账号密码并以URL方式发送到作者指定的地址中。

动物家园计算机安全咨询中心反病毒工程师建议：

   1、从其他网站下载的软件或者文件，打开前一定要注意检查下是否带有病毒。  

   2、别轻易打开陌生人邮件及邮件附件、连接等。

   3、用户应该及时下载微软公布的最新补丁，来避免病毒利用漏洞袭击用户的电脑。

   4、尽量把系统帐号密码设置强壮点，勿用空密码或者过于简单。

   5、发现异常情况，请立即更新你的反病毒软件进行全盘查杀或者登陆bbs.kingzoo.com(安全咨询中心)咨询