病毒周报(100614至100620)

动物家园计算机安全咨询中心（ www.kingzoo.com ）反病毒斗士报：

“间谍木马”（Trojan/Win32.Zbot.akag[SPY]） 威胁级别：★★

    病毒运行后，复制自身到%System32%目录下，在该目录下衍生多个文件；修改注册表，使衍生的文件伴随userinit.exe启动以及将病毒文件加入到CMD.EXE的调用扩展中；将病毒主体添加到卡巴斯基反病毒软件的信任区域；为卡巴斯基添加新规则开放最大权限；绕过金山反病毒软件的主动防御；病毒运行完毕后删除自身。该病毒会连接网络向外发送本地机器的相关信息、下载病毒的最新版本到IE临时目录并执行，从而盗取或控制用户的计算机。

“DNF窃贼”（Trojan/Win32.Vilsel.aepw） 威胁级别：★★

    该恶意代码文件为DNF游戏盗号木马，病毒运行之后衍生病毒文件到%System32%目录下命名为2tgfsddaew4refdsd.ime（该后缀名文件为输入法文件）并将该文件改名为随机名*.drv（该后缀名文件为设备驱动程序）后缀名文件，然后再次创建一个2tgfsddaew4refdsd.ime到该目录下，调用输入法API函数来安装创建的病毒文件伪装成（中文(简体)-智能CBA），因为DNF游戏有Tenprotect网游反外挂引擎保护无法正常将DLL注入到该游戏进程中，所以病毒利用该手段通过用户切换输入法方式将病毒DLL注入进游戏进程中，衍生2个DLL文件之后，查找类名"TWINCONTROL"标题名为“地下城与勇士”、“地下城勇士”的窗口，找到之后向该窗口发送关闭消息，调用"rundll32.exe"来加载2tgfsddaew4refdsd.ime文件，将病毒文件注入到Explorer.exe、conime.exe进程中，释放批处理文件删除病毒原文件，病毒DLL文件分析：判断自身模块是否在DNF进程中，并获取DNF窗口相关信息，通过内存技术截取账号密码，将获取的账号密码发送到作者指定的地址中。


“记录间谍”（Trojan/Win32.KeyLogger.fqs[Spy]） 威胁级别：★★

    该病毒图标为jpg格式文件图标；该文件是由一个图片文件和一个病毒文件用winrar组成的自解压复合文件；病毒运行后衍生病毒文件到%Windir%目录下，衍生图片文件到%Windir%\temp下，用以迷惑用户；修改注册表添加启动项，使病毒文件随机启动；病毒运行后记录当前用户的键盘操作，保存到%Windir%目录下的winhlp32.hlp文件中；连接FTP服务器，将捕获的键盘数据发送到指定的目录。该病毒通过病毒作者向攻击目标的email地址发送邮件的方式进行传播。

动物家园计算机安全咨询中心反病毒工程师建议：

   1、从其他网站下载的软件或者文件，打开前一定要注意检查下是否带有病毒。  
   2、别轻易打开陌生人邮件及邮件附件、连接等。
   3、用户应该及时下载微软公布的最新补丁，来避免病毒利用漏洞袭击用户的电脑。
   4、尽量把系统帐号密码设置强壮点，勿用空密码或者过于简单。
   5、发现异常情况，请立即更新你的反病毒软件进行全盘查杀或者登陆bbs.kingzoo.com(安全咨询中心)咨询