病毒周报(100705至100711)

动物家园计算机安全咨询中心（ www.kingzoo.com ）反病毒斗士报：

“下载者木马”（Trojan/Win32.Agent.cgfg[Dropper]） 威胁级别：★★

    该病毒为木马类病毒，病毒运行后，创建进程加载病毒DLL文件，添加注册表启动项，创建相应快捷方式文件到桌面，将病毒dll文件注入到Explorer.exe进程中，调用函数连接网络打开一个网址并下载病毒文件保存到%System32%目录下，病毒DLL文件主要行为：当用户双击盘符时会出现该目录存在威胁的提示并询问用户是否下载，当用户选择“是”则会连接网络下载文件，当用户选择“否”则会弹出一个网页模拟本地磁盘，显示存在的威胁数量并提示用户是否下载扫描器，严重影响用户对本地磁盘的正常浏览。

“QQ游戏窃取器”（Trojan/Win32.Win32.OnLineGames.bnkb[Stealer]） 威胁级别：★★

    该病毒文件为QQ三国游戏盗号木马，病毒运行后创建互斥体MutexName = "qqsg0312"，防止病毒多次运行、遍历进程查找"QQSG.exe"进程，找到之后强行结束该进程，查找注册表QQ三国的path位置，如果找到该键值则将%Systme32%目录下的LPK.DLL文件拷贝一份到游戏目录下命名为"syswim.dll"，在游戏目录下创建一个"qqsginit.dll"、LPK.dll文件并将文件属性设置为隐藏，如果注册表找不到游戏键值则不执行以上创建文件代码，遍历进程找到"avp.exe"、"RavMonD.exe"，找到后创建注册表服务衍生q3g.dll到%TEMP%临时目录下，调用rundll32.exe加载衍生的病毒DLL文件，如果找不到以上2个安全软件进程将%Windir%目录下的notepad.exe拷贝一份命名为ctfmon.exe，遍历进程查找ctfmon.exe进程、衍生随机病毒DLL文件到临时目录下，动态加载病毒DLL文件，调用病毒DLL文件的wdon模块，设置消息钩子、试图将病毒DLL注入到所有进程中、查找窗口类名为TT_WebCtrl、container的窗口、通过消息钩子截取游戏账号密码以URL方式将账号密码发送到作者指定的地址中。


“代理木马cppg”（Trojan/Win32.Agent.cpph） 威胁级别：★★

    病毒运行后，衍生文件到系统目录下，并删除自身。修改注册表创建一个服务启动项，以达到随机启动的目的。将动态链接库注入到explorer.exe进程，达到隐藏自身躲避防火墙的目的，并收集各种敏感信息。连接网络发送信息，并尝试关闭反病毒软件。


动物家园计算机安全咨询中心反病毒工程师建议：

   1、从其他网站下载的软件或者文件，打开前一定要注意检查下是否带有病毒。  
   2、别轻易打开陌生人邮件及邮件附件、连接等。
   3、用户应该及时下载微软公布的最新补丁，来避免病毒利用漏洞袭击用户的电脑。
   4、尽量把系统帐号密码设置强壮点，勿用空密码或者过于简单。
   5、发现异常情况，请立即更新你的反病毒软件进行全盘查杀或者登陆bbs.kingzoo.com(安全咨询中心)咨询