病毒周報(071119至071125)

動物家園計算機安全咨詢中心（ [url]www.kingzoo.com[/url] ）反病毒鬥士報牽手廣州市計算機資訊網絡安全協會（ [url]www.cinsa.cn[/url] ）釋出：

本周重點關注病毒：

“拆窗蠕蟲66576”（Win32.Troj.backdoor.ya.66576）  威脅級别：★★

        此病毒的源檔案名稱是zsmscc071001.exe，潛入使用者系統後，它會先瞧瞧自己是否處于%windows%\system32\目錄下，如果不是，便将自己複制到該目錄下，并建立批處理程式，将原來位置上的檔案删除，避免使用者發現。

        之後，它釋放出三個病毒檔案，分别是%windows%\system32\目錄下的zsmscc071001.dll和zsmscc32.dll，以及%windows%\目錄下的zsmscc16.ini，它們各有分工。其中zsmscc16.ini是***的配置檔案，記錄着***的目前版本号及安裝的路徑，而zsmscc071001.dll 負責監控及自我保護，zsmscc32.dll 則是***的主要功能，可以實作對外通信和傳染等功能。

       由于安全軟體的保護，病毒無法順利作案，是以它會首先搜尋并強行關閉打開的安全軟體視窗，這個過程中，金山、卡巴斯基、瑞星、360安全衛士、江民等廠商的産品将被關閉。同時被關閉的還有其他任何含有殺毒、查毒、啟動項管理、程序項管理等類似字樣的視窗和系統工具。包含範圍非常廣。

        完成以上步驟後，病毒便利用之前生成的DLL檔案在系統中制造後門，接收遠端指令。這樣一來，其它病毒、***，以及***便可順利的進入電腦系統，給使用者造成更大損失。

“管道隐藏者118784”（Win32.Worm.Downloader.a.118784）  威脅級别：★★

       病毒運作後，會在%Windows%目錄\下生成svchost.exe，同時在目前所處的目錄下生成kfo11.bat檔案。然後，利用kfo11.bat将源檔案删除，并修改系統資料庫，将自己的檔案顯示模式設為隐藏，這樣一來，使用者便不容易發現它了。

      值得注意的是，病毒會冒充Windows的網絡管理服務，如果查詢其屬性，看到的顯示名為“Windows Network Management”、描述是“為Windows提供網絡管理服務。”、而路徑為“ %Windows%\svchost.exe”。同時，此病毒會破壞系統更新檔案日志，阻止系統更新修補漏洞，給自己争取到更久的潛伏時間。

      随後，病毒搜尋感染機器的PE檔案，擷取PE檔案資訊，并建立管道(pipe)後門，為***遠端***提供便利，并打開病毒更新接口。下載下傳的新病毒檔案以elf_downloader.pdb的名稱儲存到f:\source\cg\rubbish\elf_downloader\Releas\目錄下。病毒還會利用自己攜帶的一批簡單密碼來破解區域内的其他計算機密碼，繼續感染其他機器。同時，它還會枚舉大量的電子郵箱位址，不斷的發送含毒郵件，進一步傳播病毒。

“ARP下載下傳者155648”（Worm.Downloader.p.155648）  威脅級别：★★

        這是一個***下載下傳者，病毒運作後在 %system32%\Com\comrepl32.exe目錄與 %system32%\drivers\pcibus.sys目錄下釋放出病毒檔案，并修改系統資料庫，以便随系統自動啟動。

        該病毒隐蔽性較高，它在%system32%目錄下svchost.exe程式的空間内運作病毒程式，隐藏自身。若系統中安裝有卡巴斯基，病毒還能将系統時間中的年份修改為2001年，暫時禁用卡巴基斯基，運作完畢後，再将系統時間改回正确的年份。如此一來，使用者就更不易發現它的存在。

        确定卡巴斯基“癱瘓”後，病毒便在使用者無法知曉的情況下連接配接網絡，從網上下載下傳其它病毒，将它們以conime?.exe檔案名的形式儲存到%Program Files%\目錄下，需要注意的是，病毒名稱中的“?”為随機生成的0-9數字，或a-z的小寫字母。

       除了在本機上造成危害，該病毒還會向外發送ARP包，對區域網路内的計算機進行ARP***，并通過ARP***傳播病毒檔案。是以，它在區域網路中的危害會更大。

“恐怖雞感染号”（Win32.LwyMum.h.147456）  威脅級别：★★

       病毒運作後，分别在系統盤目錄下的%Temporary Internet Files%\Content.IE5(IE緩存)、%Program Files%\Internet Explorer\PLUGINS\、%WINDOWS%\Font、%WINDOWS%\system\、%WINDOWS%\system32\等目錄下生成非常多的病毒檔案。并在所有磁盤盤中都生成AUTO病毒，分别是：XP.EXE和autorun.inf病毒輔助檔案。同時，病毒還修改系統資料庫，這樣它以後便可随系統一起啟動。完成以上步驟後，病毒自删除源檔案，使使用者無法找到病毒源。

        如果使用者輕按兩下進入有AUTO病毒的盤符，病毒立即發作，其症狀是視窗會發生一次“跳轉”。發作的病毒馬上開始感染可執行檔案，被病毒感染的檔案在打開時，其實已經再次激活病毒。這時檢視任務管理器便可發現，病毒程序logogogo.exe正在運作，并大量吞噬系統資源，使得系統處于半癱瘓狀态。

        這種情況下，大部分人一定會重新開機電腦。可這時系統關閉的速度異常緩慢，而且一直停留在關閉的截面上“正在儲存設定......”。當強制重新開機以後，如果運作剛才被修改感染的可執行檔案，會立即在目前目錄中生成ani.ani檔案。檢查一下電腦中的檔案，會發現反病毒、安全軟體的可執行檔案、WINRAR壓縮包、MSN等已經全被感染。

        該病毒還會在系統資料庫中添加映像劫持項，著名的反病毒軟體以及安全輔助工具都會被劫持，如金山毒霸、瑞星、360、卡巴斯基等。浏覽器也被感染，任何網站無法打開，使用者将無法通過網絡向安全軟體廠商求援。這樣一來，整個電腦系統都将成為該病毒的“領地”。

動物家園計算機安全咨詢中心反病毒工程師建議：

   1、從其他網站下載下傳的軟體或者檔案，打開前一定要注意檢查下是否帶有病毒。

   2、别輕易打開陌生人郵件及郵件附件、連接配接等。

   3、使用者應該及時下載下傳微軟公布的最新更新檔，來避免病毒利用漏洞襲擊使用者的電腦。

   4、盡量把系統帳号密碼設定強壯點，勿用空密碼或者過于簡單。

   5、發現異常情況，請立即更新你的反病毒軟體進行全盤清除或者登陸bbs.kingzoo.com(安全咨詢中心)咨詢

轉載于:https://blog.51cto.com/kingzoo/51117