病毒周报(100621至100627)

动物家园计算机安全咨询中心（ www.kingzoo.com ）反病毒斗士报：

“本地磁盘模拟者”（Trojan/Win32.Agent.bpvh[Dropper]） 威胁级别：★★

    该病毒为木马类病毒，病毒运行后，创建进程加载病毒DLL文件，添加注册表启动项，创建相应快捷方式文件到桌面，将病毒dll文件注入到Explorer.exe进程中，调用函数连接网络打开一个网址并下载病毒文件保存到%System32%目录下，病毒DLL文件主要行为：当用户双击盘符时会出现该目录存在威胁的提示并询问用户是否下载，当用户选择“是”则会连接网络下载文件，当用户选择“否”则会弹出一个网页模拟本地磁盘，显示存在的威胁数量并提示用户是否下载扫描器，严重影响用户对本地磁盘的正常浏览。

“U盘寄生虫变种”（Worm/Win32.AutoRun.bade） 威胁级别：★★

    该病毒为蠕虫类，病毒运行后复制自身到系统目录下，并衍生病毒文件；修改注册表，添加启动项，降低ie浏览器的安全性能，锁定“文件夹选项”中对隐藏文件的显隐选择，连接网络下载病毒文件，并执行；病毒运行完毕后删除自身。


“疯狂下载者”（Trojan/Win32.Win32.Agent.dkpa[Downloader]） 威胁级别：★★

    该恶意代码文件为木马，病毒运行后初始化socket与控制端建立网络进行通信，如果连接失败调用函数获取随机数，将随机数作为休眠参数传给SLEEP函数执行，休眠一段时间再次重新建立连接直到连接成功为止，建立连接成功之后向客户端发送本机计算机名称，服务器将返回URL下载连接地址，病毒创建2个线程，线程1负责连接网络发送请求，线程2负责接收服务器返回的数据，衍生病毒文件到%WINDIR%目录下，衍生的病毒文件运行后释放驱动文件恢复SSDT、添加注册表病毒服务、服务启动之后删除驱动文件，拷贝自身到%WINDIR%目录下命名为csrse.exe，连接网络下载病毒文件，并尝试向指定域名请求数据，因下载的病毒文件根据客户端服务器而变化不固定、可能有盗号木马和远程控制类木马。

动物家园计算机安全咨询中心反病毒工程师建议：

   1、从其他网站下载的软件或者文件，打开前一定要注意检查下是否带有病毒。  
   2、别轻易打开陌生人邮件及邮件附件、连接等。
   3、用户应该及时下载微软公布的最新补丁，来避免病毒利用漏洞袭击用户的电脑。
   4、尽量把系统帐号密码设置强壮点，勿用空密码或者过于简单。
   5、发现异常情况，请立即更新你的反病毒软件进行全盘查杀或者登陆bbs.kingzoo.com(安全咨询中心)咨询