病毒周报(080317至080323)

周报(080317至080323)"/>

病毒周报(080317至080323)

动物家园计算机安全咨询中心（ [url]www.kingzoo[/url] ）反病毒斗士报牵手广州市计算机信息网络安全协会（ [url]www.cinsa[/url] ）发布：

本周重点关注病毒：

“网银隐身劫匪”（Win32.Huhk.d.7607）  威胁级别：★★

    病毒编写者在制作大量针对网游的盗号***的同时，也从来没忘记过把目标瞄准银行里的真实财产，只要有网上支付发生，病毒作者就不会放过从中搞鬼的机会，再次提醒我们，盗号***绝对不止窃取网游帐号那么简单。
    这个针对工商银行网银的盗号***在运行后，会感染用户系统中IE浏览器的主程序iexplore.exe，利用IE来截获用户的网银信息。由于病毒体型小，以及病毒作者采取比较“节约空间”的感染方式，受到感染后的iexplore.exe程序大小不会变生改变。但当用户使用IE浏览器登陆工商银行网银系统进行网上交易时，病毒就会将截取众多信息。包括用户的支付卡号、接收卡号、密码、收款人姓名、收款人所在地、交易流水号、收款网点机构名、收款人所在网点机构、总金额等全部的敏感信息都会被该***记录下来。
    获取到帐号信息后，***就悄悄连接病毒作者指定的一个远程服务器，让病毒作者（***种植者）掌握用户的银行帐号、密码，甚至个人隐私，给用户造成无法估计的重大损失。而且由于采取网络转账，赃款可能会较难追回，因此需要使用网银的用户，一定要养成良好的网银使用习惯，比如及时安装银行提供的官方安全插件、只从银行官网登录网银，以及经常使用杀毒软件扫描系统等。
    另外，此***有着较强的“破坏现场”能力。一旦盗号成功，***就会读取windows的备份文件夹，将iexplore.exe恢复成正常，使得用户无法找到它的犯罪证据。

“IRC肉鸡311296”（Win32.Hack.SdBot.311296）  威胁级别：★★

    即时聊天工具因其独有的便捷性，使人们的交流变得越来越容易，从而扩大了信息传播的覆盖面。但也正是这一点，一些恶意程序纷纷将即时聊天工具作为作案工具。相信用户们对QQ尾巴、MSN圣诞虫等***肯定不会陌生，它们就是利用即时聊天工具进行传播的。而此次我们要提醒广大用户注意的，是一个IRC***。
    IRC是英文Internet Relay Chat的缩写，它是一个1988年起源于芬兰的即时聊天方式，目前广泛应用于全世界 60多个国家。与会自动传播的QQ尾巴不同，这个IRC***是一个后门程序，它被人为地隐藏在某些正常文件中，然后发给用户。当进入用户电脑后，它会将病毒文件klog.txt和SERVICE.EXE释放到系统盘的%WINDOWS%\system32\目录下，并修改注册表启动项实现自动启动。
    随后，该***主动连接***作者指定的IRC聊天服务器，使***作者能以“聊天”的方式不断地向中毒电脑发送命令。其中对用户危害较大的主要命令有记录用户的键盘动作、抓取用户的屏幕、下载文件、向远端计算机发起DOS***、自我更新、关闭指定的进程、开启用户机器上的默认共享、将获取的用户信息发送给指定邮箱等。
    虽然此***具有如此大的威胁，但对它的防范，说到底，也没有什么特别需要注意的地方，依然是“养成良好的上网习惯”，比如不要随便接收别人发给的文件和过于贪图IRC上的免费资源。毕竟相当一部分时候，不法分子是利用你的好奇心和占便宜心理来作案的。

“AUTO下载器1433360”（Win32.TrojDownloader.losabel.bl.1433360）  威胁级别：★★

这个***下载器对安全软件的突破能力和传播效率都要大些，因为它除了会破坏安全软件的正常运行外，还会生成可利用U盘等移动存储设备进行传播的AUTO病毒。
    病毒进入用户系统后，在系统盘中释放出四个病毒文件，分别是%WINDOWS%\system32\目录下的1.inf、snowfall.exe、TestDll.dll，以及%ProgramFiles%\Common Files\Services\目录下的svchost.exe。文件释放完毕后就修改注册表启动项，将自己设置为随系统启动而自动启动。
    如果运行起来，病毒首先会搜索并映像劫持系统中已安装的安全软件，并禁用系统任务管理器，以防止用户对它进行查杀。在降低Internet选项的安全级别后，病毒注入到Explorer.exe、spoolsv.exe等系统进程中，从后台开启网络连接，下载包括盗号***在内的大量恶意程序，这可能会给用户造成无法估计的巨大损失。
    此外，为提高自己的传播效率，病毒会在所有的磁盘分区中生成AUTO病毒文件autorun.inf和snow.exe，只要用户双击磁盘目录或在中毒电脑上使用U盘等移动存储设备，病毒就会被激活，搜索感染所有的磁盘分区。使得自己的传染范围不断扩大。

“ARP下载帮凶63011”（Win32.PSWTroj.Win32.63011）  威胁级别：★★

    ARP病毒是一种可以对局域网发起全免***的病毒，它伪装成网关，向局域网内的电脑发送大量垃圾命令，造成网速逐渐减慢直至断网。如果你的电脑遭遇ARP病毒和***下载器的同时***，会变成怎样？]
    此病毒进入用户系统后，在系统盘下释放出大量EXE和DLL格式的病毒文件，主要集中在系统盘的%WINDOWS%\Temp\、%ProgramFiles%、%WINDOWS%\Fonts\、%WINDOWS%\system32\等目录下。其中全部的DLL文件都会被注入到系统桌面进程exploer.exe中，利用它创建远线程，以实现下一步的隐蔽下载。
    仅仅是做到以上步骤还不够，病毒会搜索用户电脑上是否有MS06-014漏洞和超星阅读器的漏洞，如果有，它就可以启动下载程序，从***种植者指定的地址 [url]http://w[/url]**.vg/*.exe下载大量***。
    在它下载的***中，有一个隐藏在%TEMP%文件夹中的oKoK.exe文件会在%ProgramFiles%目录下生成一个svchost.exe病毒文件，该文件会对局域网发出ARP***，致使局域网内所有的机器在访问网页时，都会被挂上恶意代码，感染下载器。随着大量的***程序被下载到本地执行，系统反应会变得格外迟钝，最后宕机。
    在宕机之前，许多盗号***已经修改好系统注册表，等你重启电脑后，它们就能顺利跑起来，尽情地偷东西了。

“BHO***变种92888”（Win32.Troj.Agent.92888）  威胁级别：★

      BHO本身是一个IE扩展COM组件，可用于网络监听，防止用户浏览不良网站。但恰恰因为监听能力强，一些病毒制作者就把它用于广告***之中。它运行后，复制***文件ip6monz.dll到系统文件夹，同时修改系统注册表，把自己注册为BHO启动项，随系统桌面进程Explorer.exe开机启动。
    ***开始运行后，开启独立线程监控对IE浏览器，收集用户上网时搜索过的关键词和浏览过的网址，并将它们发送给***种植者，让他们可以掌握用户的上网习惯和隐私。同时，在用户打开网页时，它会在网页中插入恶意代码，如果网页执行恶意代码，则可能打开系统网络端口，导致***种植者可以***用户电脑。

动物家园计算机安全咨询中心反病毒工程师建议：

   1、从其他网站下载的软件或者文件，打开前一定要注意检查下是否带有病毒。
  
   2、别轻易打开陌生人邮件及邮件附件、连接等。

   3、用户应该及时下载微软公布的最新补丁，来避免病毒利用漏洞袭击用户的电脑。

   4、尽量把系统帐号密码设置强壮点，勿用空密码或者过于简单。

   5、发现异常情况，请立即更新你的反病毒软件进行全盘查杀或者登陆bbs.kingzoo(安全咨询中心)咨询

转载于: