病毒周報(080324至080330)

動物家園計算機安全咨詢中心（ [url]www.kingzoo.com[/url] ）反病毒鬥士報牽手廣州市計算機資訊網絡安全協會（ [url]www.cinsa.cn[/url] ）釋出：

本周重點關注病毒：

“磁碟機變種102400”（Worm.VcingT.w.102400）  威脅級别：★★

     病毒進入系統後，在系統盤目錄下釋放一個 NetApi00.sys 病毒檔案，并建立服務加載它。進而修改系統資料庫破壞檔案夾選項的隐藏屬性修改，使隐藏的檔案無法被顯示，并造成安全模式被破壞。它還會反複改寫系統資料庫，破壞安全模式和防毒軟體和主動防禦的服務，使很多主動防禦軟體和實時監控無法再被開啟。

    病毒通過修改系統預設加載的DLL 清單項來實作DLL 注入，并在注入後設定全局監視，然後通過遠端程序注入來查找視窗标題的關鍵字，以判斷使用者是否有使用安全軟體。

    找到帶有關鍵字的視窗後，就往目标視窗發送大量的垃圾消息，使其無法處理而進入假死的狀态，當目标視窗接受到退出、銷毀和WM_ENDSESSION 消息就會異常退出。由于病毒自帶的關鍵詞庫較為龐大，幾乎所有市面上已有的安全軟體都會被它解決掉。

    應該說，通過查找視窗标題來關閉防毒軟體的方法沒有什麼創新，從AV終結者之後，不少病毒都會通過這種方法來對抗殺軟。但此病毒内帶的安全産品關鍵字，變得更短，使一些名字相近的程序或視窗也被關閉。

    當所有的安全軟體全被繳械後，病毒就開啟遠端連接配接，瘋狂下載下傳大量其它惡意程式到使用者電腦中運作。由于下載下傳量很大，并且這些惡意程式大部分為盜号***，使用者的系統資源會迅速占用。電腦變得奇慢無比，最後“一死了之”。

    值得注意的是，此病毒除破壞已有安全軟體的防護外，它也具有一套“主動防禦機制”。倘若檢測到自己的病毒程序被關閉，它就會立即又啟動病毒程序，若某些安全工具（比如安全廠商臨時開發的專殺）阻止了它啟動程序，病毒就立刻切斷電源，重新開機系統！如果你發現自己的電腦中突然出現大量***，并且使用更新後的安全軟體也無法正常開機，那很有可能就是中了此毒。

“絕望播種機”（Win32.TrojDownloader.Agent.bl.139378）  威脅級别：★★

    這個下載下傳器給你的系統帶來的威脅，在于它會破壞幾乎一切可用于清除它的系統服務和工具，并劫持目前市場上知名度較高的安全軟體。它一旦成功潛入使用者的系統，就會在系統盤下釋放出三個病毒檔案，分别是%Program Files%目錄下的meex.exe，以及%Program Files%\Common File\System\目錄和%Program Files%\Common Files\Microsoft Shared\目錄下的“.exe”。請注意，這個“.exe”是沒有名稱的。

    接下來，病毒首先會搶先查找并劫持使用者電腦中已安裝的安全軟體，在這個過程中，幾乎所有你聽說過的安全軟體都會被“解除武裝”。然後，開始瘋狂地修改系統資料庫，除将自己寫入啟動項外，還進行以下動作：

    1、删除系統資料庫安全模式的有關資訊，當開機時不能啟動安全模式

    2、改變系統資料庫值使隐藏檔案不可見，達到病毒體隐藏目的

    3、禁用此計算機上的幫助與支援中心服務

    4、禁用網絡位址轉換、尋址、名稱解析、和***保護服務

    5、禁用監視系統安全設定和配置服務

    6、禁用下載下傳和安裝Windows更新服務

    完成這一系列的動作後，對絕大多數使用者而言，他們将失去清除該毒的機會，唯有“重裝”可選。而為了擴大自己的傳染範圍，病毒還在各個驅動器下建立AUTO病毒檔案.exe和autorun.inf，隻要使用者在中毒電腦上使用U盤移動儲存設備，病毒就會立即傳染上去，随着U盤轉移到其它正常電腦上。

    在掃清自己犯罪的全部障礙後，病毒開始幹它的本職工作：下載下傳其它***到中毒電腦上運作。因為使用者已經失去任何抵抗能力，即便是個很古老的盜号***，也可以順利盜取到它想要的資訊，給使用者帶來無法想像的損失和麻煩。

“黑冰變種212992”（Win32.BlackIce.zm）  威脅級别：★★

    病毒在進入系統後，會釋放出一個名為“blackice.exe”的病毒檔案。這是一個***檔案，它被隐藏在系統盤的%WINDOWS%system32\路徑下，并随後修改系統資料庫啟動項，使自己可以随系統自動運作。

    接着，該毒搜尋系統中是否安裝得有網絡遊戲的用戶端程式，如果發現，便感染它們。被感染後的檔案體積會增大，習慣手動清除病毒的使用者，利用PE工具檢視可以看到檔案被多加了一個叫“blackice”的節，并且入口也在新加的節中，還可以看到一個名稱是8005的資源。

    如果使用者不小心運作了被感染的程式檔案，病毒就能被激活。它會在使用者系統的臨時目錄“Documents and Settings\User\Local Settings\Temp”下釋放一個名為“bk_XX.tmp”的***檔案和正常檔案，然後調用正常檔案運作，讓使用者難以察覺異常。需注意的是，“bk_XX.tmp”中XX為一個不确定的數，會按現有名稱遞增。

“AUTO病毒15598”（Win32.Troj.AutoRunT.ad.15598）  威脅級别：★

      此病毒進入系統後，在%WINDOWS%\system32\目錄下釋放出一個隐藏屬性的病毒檔案Dser.exe ，為防止使用者恢複檔案顯示模式後發現該檔案，病毒還将這個檔案僞裝成“系統”檔案，試圖迷惑使用者。

    接着，它判斷系統盤%WINDOWS%\system32\drivers\目錄下是否有 klif.sys 這個檔案。這個檔案其實是防毒軟體卡巴斯基的一部分，如果病毒找到這個檔案，就會修改目前系統時間為 1981-01-12 ，令依賴系統時間進行更新和激活的卡巴斯基失效。

    病毒繼續運作。它建立線程，查找視窗标題名為“IE 執行保護”、“IE執行保護”、“瑞星卡卡上網安全助手 - IE防漏牆”的視窗。如發現，則向其發送滑鼠消息，模拟使用者點選滑鼠發出的指令，将其關閉。以阻止使用者獲知系統中的異常。

    在病毒運作的後期，它在背景悄悄連接配接http:/ /www.8**ao***mm.bj.cn 這個由***種植者指定的位址，下載下傳一批名稱為 123.exe 至 128.exe 編号的***檔案，給使用者的系統安全引來更多無法估計的威脅。

    此外，為擴大傳染範圍，病毒在電腦的每個磁盤分區下都建立AUTO病毒檔案 autorun.inf 和 Dser.exe，隻要使用者輕按兩下磁盤或在中毒電腦上使用U盤等移動儲存設備，病毒就會被再次激活，搜尋所有磁盤進行感染。

動物家園計算機安全咨詢中心反病毒工程師建議：

   1、從其他網站下載下傳的軟體或者檔案，打開前一定要注意檢查下是否帶有病毒。

   2、别輕易打開陌生人郵件及郵件附件、連接配接等。

   3、使用者應該及時下載下傳微軟公布的最新更新檔，來避免病毒利用漏洞襲擊使用者的電腦。

   4、盡量把系統帳号密碼設定強壯點，勿用空密碼或者過于簡單。

   5、發現異常情況，請立即更新你的反病毒軟體進行全盤清除或者登陸bbs.kingzoo.com(安全咨詢中心)咨詢

轉載于:https://blog.51cto.com/kingzoo/67618