病毒週報(100621至100627)

動物家園計算機安全諮詢中心（www.kingzoo.com）反病毒鬥士報：

“本地磁盤模擬者”（Trojan/Win32.Agent.bpvh[Dropper]） 威脅級別：★★

    該病毒爲***類病毒，病毒運行後，創建進程加載病毒DLL文件，添加註冊表啓動項，創建相應快捷方式文件到桌面，將病毒dll文件注入到Explorer.exe進程中，調用函數連接網絡打開一個網址並下載病毒文件保存到%System32%目錄下，病毒DLL文件主要行爲：當用戶雙擊盤符時會出現該目錄存在威脅的提示並詢問用戶是否下載，當用戶選擇“是”則會連接網絡下載文件，當用戶選擇“否”則會彈出一個網頁模擬本地磁盤，顯示存在的威脅數量並提示用戶是否下載掃描器，嚴重影響用戶對本地磁盤的正常瀏覽。

“U盤寄生蟲變種”（Worm/Win32.AutoRun.bade） 威脅級別：★★

    該病毒爲蠕蟲類，病毒運行後複製自身到系統目錄下，並衍生病毒文件；修改註冊表，添加啓動項，降低ie瀏覽器的安全性能，鎖定“文件夾選項”中對隱藏文件的顯隱選擇，連接網絡下載病毒文件，並執行；病毒運行完畢後刪除自身。


“瘋狂下載者”（Trojan/Win32.Win32.Agent.dkpa[Downloader]） 威脅級別：★★

    該惡意代碼文件爲***，病毒運行後初始化socket與控制端建立網絡進行通信，如果連接失敗調用函數獲取隨機數，將隨機數作爲休眠參數傳給SLEEP函數執行，休眠一段時間再次重新建立連接直到連接成功爲止，建立連接成功之後向客戶端發送本機計算機名稱，服務器將返回URL下載連接地址，病毒創建2個線程，線程1負責連接網絡發送請求，線程2負責接收服務器返回的數據，衍生病毒文件到%WINDIR%目錄下，衍生的病毒文件運行後釋放驅動文件恢復SSDT、添加註冊表病毒服務、服務啓動之後刪除驅動文件，拷貝自身到%WINDIR%目錄下命名爲csrse.exe，連接網絡下載病毒文件，並嘗試向指定域名請求數據，因下載的病毒文件根據客戶端服務器而變化不固定、可能有盜號***和遠程控制類***。

動物家園計算機安全諮詢中心反病毒工程師建議：

   1、從其他網站下載的軟件或者文件，打開前一定要注意檢查下是否帶有病毒。  
   2、別輕易打開陌生人郵件及郵件附件、連接等。
   3、用戶應該及時下載微軟公佈的最新補丁，來避免病毒利用漏洞襲擊用戶的電腦。
   4、儘量把系統帳號密碼設置強壯點，勿用空密碼或者過於簡單。
   5、發現異常情況，請立即更新你的反病毒軟件進行全盤查殺或者登陸bbs.kingzoo.com(安全諮詢中心)諮詢