病毒周报(100510至100516)

动物家园计算机安全咨询中心（ www.kingzoo.com）反病毒斗士报：

“隐秘者”（Trojan/Win32.TDSS.bcpe[Rootkit]） 威胁级别：★★

    该病毒运行之后，复制自身到%Temp%目录下，使用Rootkit技术在系统中隐藏自身行为，连接网络下载3个病毒文件（该病毒文件下载的文件可能随时间变化不定），将下载的病毒文件保存到%Temp%目录下，病毒运行完毕后删除自身文件。病毒会连接网络下载文件并运行。

“修改者木马”（Trojan/Win32.StartPage.zwz[Dropper]） 威胁级别：★★

    该病毒为木马类，病毒运行后遍历进程，查找杀软相关进程并关闭；删除桌面上的IE浏览器图标，创建一个执行指定主页的网站，在系统目录下衍生病毒配置文件，修改host文件屏蔽部分网址导航网站并将其导航到指定页面；修改注册表添加启动项，修改ie浏览器的默认主页；连接指定的网站发送本地用户相关的信息。

“广告木马”（Trojan/VBS.StartPage.ez[Clicker]） 威胁级别：★★

    恶意代码文件为恶意广告类木马，该病毒文件为包裹捆绑病毒文件，病毒运行后动态加载多个系统DLL文件来获取所需调用的函数，查找并调用指定的模板资源，创建一个模态对话框在临时文件目录下并释放多个病毒文件，调用VBS脚本来修改添加注册表项，判断注册表IE主页是否为已修改，如是则不执行批处理文件，如不是则执行批处理文件将执行注册信息导入注册表实现修改IE主页和隐藏桌面的Internet Explorer浏览器，实现将病毒的URL快捷方式文件拷贝到%System32%目录下并在桌面、开始菜单-程序内与桌面快速启动位置创建IE快捷方式，最后删除病毒自身的IEXPLORE.lnk、Internet Explorer.lnk文件。

“IE修改器”（Trojan/Win32.StartPage.zdf[Clicker]） 威胁级别：★★

    该恶意代码文件为木马类，病毒运行后创建互斥量MutexName = "Q-$-EXE"，以防止病毒多次运行产生冲突，创建一个线程通过检查注册表来确认是否安装QQ、迅雷等工具，并获取相应安装路径。遍历QQ的BIN目录查找TaskTray.dll文件，获取该文件的文件大小并比较文件大小是否是300000，如不是则删除%HOMEDRIVE%下的Q999.dll文件，并创建一个已经写入35328字节数据的新Q999.dll文件到%HOMEDRIVE%下，且将文件属性设置为隐藏。将BIN文件夹下的TaskTray.dll命名为Shareds.dll，将%HOMEDRIVE%下的Q999.dll病毒文件移动到BIN文件夹下命名为TaskTray.dll文件，动态获取大量API函数遍历进程查找QQ.EXE找到之后强行结束其进程。同样利用以上注册表查询迅雷的安装路径并获取迅雷目录下的mp.dll的文件大小，查找Shareds.dll文件并以该文件作为标志来判断是否已经被修改过，创建一个已经写入35328字节数据的新xlnnn.dll文件到%HOMEDRIVE%下，同样将xlnnn.dll替换成迅雷目录下的mp.dll，将mp.dll改名为Shareds.dll，再次遍历进程查找Thunder.exe找到之后结束该进程。在%HOMEDRIVE%下创建一个nyvdvm.lnk快捷方式文件、写入693字节数据，设置注册表将桌面的IE浏览器隐藏，同时将%HOMEDRIVE%下的nyvdvm.lnk快捷方式文件移动到桌面命名为Internet Explorer.lnk，调用Netbios函数获取本机MAC地址，隐藏开启iexplore.exe进程连接网络发送安装统计信息，病毒对QQ和迅雷的文件替换主要目是监视桌面上病毒创建的Internet Explorer.lnk，如发现被删除则会立即创建，这样达到无法正常删除的目的，当用户打开桌面IE浏览器时，将会跳转到病毒指定的广告网址。

“疯狂下载者”（Trojan/Win32.Patched.iv[Downloader]） 威胁级别：★★

    该文件被感染式病毒所感染，感染病毒对该文件做了入口点代码修改，当用户打开被感染的文件后，先执行病毒代码，再执行正常文件的代码。执行病毒代码后切换到正常文件代码的过程：先分配临时空间，将病毒代码存放到该缓冲区内，在文件入口偏移10E处调用执行病毒代码，获取模块句柄，打开文件从文件尾部向上偏移938（2036）字节并除去正常文件的代码，然后保存到缓冲区里，将读出来的正常文件数据拷贝到入口点处覆盖掉病毒代码，创建一个线程最后跳到原入口点执行正常文件的代码，所创建的线程是运行病毒主要功能代码。在正常文件执行后，线程同时被激活，线程执行后动态加载多个系统DLL文件，遍历%System32%目录下是否存在arpcss.dll文件，如有则退出线程，如没有则找到该文件并连接网络用于下载病毒文件并将下载的病毒文件保存到临时目录下。

动物家园计算机安全咨询中心反病毒工程师建议：

   1、从其他网站下载的软件或者文件，打开前一定要注意检查下是否带有病毒。  

   2、别轻易打开陌生人邮件及邮件附件、连接等。

   3、用户应该及时下载微软公布的最新补丁，来避免病毒利用漏洞袭击用户的电脑。

   4、尽量把系统帐号密码设置强壮点，勿用空密码或者过于简单。

   5、发现异常情况，请立即更新你的反病毒软件进行全盘查杀或者登陆bbs.kingzoo.com(安全咨询中心)咨询