病毒周报(080107至080113)

周报(080107至080113)"/>

病毒周报(080107至080113)

动物家园计算机安全咨询中心（ [url]www.kingzoo[/url] ）反病毒斗士报牵手广州市计算机信息网络安全协会（ [url]www.cinsa[/url] ）发布：

本周重点关注病毒：

“李鬼卡巴42492”（Worm.AutoRun.42492）  威胁级别：★★

    病毒进入用户的系统后，会把自身病毒文件sky.exe复制到系统盘的%WINDOWS%\system32\目录下，并将其属性设为系统隐藏文件，以免被用户发现。紧接着，它就搜索杀毒软件卡巴斯基的进程，如果找到，立即修改系统时间为1981-01-12，导致依赖系统时间卡巴斯基失效，然后，病毒就会试图删除卡巴斯基的服务。
    随后，病毒修改系统注册表，把自己的相关信息加入启动项，这样以后它都能随系统启动而自动运行起来。同时，它还会伪装成卡巴斯基7.0的服务程序。从修改时间时算起，15秒后，病毒恢复正确的系统时间，这样，它成功完成“偷天换日”，摇身变成了卡巴的模样，而用户却仍蒙在鼓里。
    当病毒顺利地开始运行后，它就在后台建立远程连接，从***作者指定的地址下载大量其它***文件，并立刻运行它们。同时，病毒将自身文件sky.exe复制到各磁盘的根目录下，并创建对应的autorun.inf文件，只要用户在中毒电脑上使用U盘等移动存储器，病毒就会立刻将其传染，扩大自己的感染范围。
    此外，该病毒具有自我删除的功能，当运行完后，它就在%WINDOWS%\system32\目录下创建一个Deledomn.bat文件，将自己的原始文件删除。

   “乌鸦喝水4678”（JS.fullexploit.ca.4678）  威胁级别：★★

    此病毒利用网页挂马的方式进行传播，如果用户浏览被它挂马的网站，系统就会立即被感染。病毒进入用户系统后，会搜索百度搜霸工具条、超星阅读器、联众游戏、暴风影音、realplayer、迅雷等多种网络软件的进程，发现后对它们进行检查，看是否存在安全漏洞。如果有，病毒就会立即产生大量数据信息，制造溢出事件。
    所谓“溢出”，指的水池里的水太多，漫了出来。计算机系统中有一个数据缓存区，它就好比于一个用来存储用户输入的数据的“水池”。这个“水池”的空间有限，如果输入的数据超过了缓冲区的长度，就会发生溢出，而这些溢出的数据会覆盖在其它的数据上。如果溢出的数据具有破坏性，就无疑会对其它数据造成破坏。
    一旦此病毒脚本溢出成功，它就可以在用户无法察觉的情况下建立远程连接，从 [url]http://9[/url]*.*c/s.exe这个由***种植者指定的地址下载大量其它***程序，并立刻将它们激活运行，给用户系统造成无法估计的破坏。
    在破坏用户系统的同时，病毒还会趁用户访问网络的时候，对用户浏览过的网站进行挂马传播，寻找下一个受害者。

“纸糊防火墙”（Win32.TrojDownloader.Agent.20480）  威胁级别：★★

    病毒顺利潜入用户电脑系统后，会先释放出3个病毒文件，分别为%WINDOWS%\drivers\目录下的runtime.sys，%WINDOWS%\DRIVERS\目录下的Ip6Fw.sys，以及%WINDOWS%\0_exception.nl。此外，如果中毒用户的操作系统为windows 2000，那么病毒还会在%WINDOWS%\drivers\目录下生成一个netdtect.sys文件。释放完文件后，病毒就修改注册表，把自己的相关数据写入启动项，达到随系统自动启动之目的。
    随系统重新启动后，病毒会尝试运行之前生成的runtime.sys文件和Ip6Fw.sys文件。为了避免被用户发现，它会将Ip6Fw.sys加以伪装，如果用户检查此文件的属性，会看到其描述是：为家庭和小型办公网络提供***保护服务。这样的描述有点眼熟吧，原来，这个文件是病毒用来替换WINDOWS系统防火墙驱动的。
    当成功替换掉WINDOWS系统防火墙驱动，病毒就删除自身原始文件，然后开始查询中毒电脑的操作系统版本等信息，并利用IE浏览器的进程IEXPLORE.EXE在后台建立远程连接，根据之前获取的系统信息从***指定的远程服务器下载更多其它病毒，给用户系统安全带来更多无法估计的威胁。

“灰鸽子变种pv”（Win32.Hack.Huigezi.pv.815104）  威胁级别：★★

    病毒进入电脑系统后，会将病毒文件KAV.sys释放到系统盘的%WINDOWS%\system32\drivers\目录下，然后修改系统注册表，以便以后都能随着系统的启动而自动运行起来。
    病毒开始运行后，就搜索并注入到系统桌面进程Explorer.exe中，然后自动分析控制端（中毒电脑）的IP，然后在用户无法察觉的情况下自动创建网络连接。与此同时。它会打开打中毒电脑上的8080和1080号端口，等待***的连接。
    只要***顺利地与中毒电脑建立连接，就能利用打开的端口对中毒计算机实施各种操作，无论文件创建、删除，还是进程启动和关闭，以及网络服务的运行，***都能为所欲为。给用户的个人隐私和系统安全造成严重威胁。一些别有用心的***甚至会利用中毒电脑对其它正常电脑发动***，给用户带不必要的麻烦。

动物家园计算机安全咨询中心反病毒工程师建议：

   1、从其他网站下载的软件或者文件，打开前一定要注意检查下是否带有病毒。
  
   2、别轻易打开陌生人邮件及邮件附件、连接等。

   3、用户应该及时下载微软公布的最新补丁，来避免病毒利用漏洞袭击用户的电脑。

   4、尽量把系统帐号密码设置强壮点，勿用空密码或者过于简单。

   5、发现异常情况，请立即更新你的反病毒软件进行全盘查杀或者登陆bbs.kingzoo(安全咨询中心)咨询

转载于: