【病毒防范类】病毒周报！Update：（2010.01.18-2010.01.24）

病毒预报  第三百一十六期（2009.2.23-2009.2.29）

国家计算机病毒应急处理中心通过互联网络监测发现，近期出现了利用微软公司前不久发布的漏洞MS09-002(Internet Explorer 的累积性安全更新)进行网页挂马的恶意攻击代码。 Internet Explorer 的累积性安全更新， 如果用户使用浏览器 IE查看特制网页，则该漏洞可能允许恶意攻击者远程任意执行代 码。一旦恶意代码执行成功，攻击者就有可能获取入侵操作系统 的“管理员权限”，随后以“管理员”身份对操作系统进行任意 操作。     该漏洞存在于微软公司的浏览器IE7版本中，如果计算机用 户的操作系统中浏览器IE没有及时下载安装该漏洞补丁程序，一旦用户使用浏览器IE7点击打开被恶意攻击者挂马的Web网页时，那么一些其他病毒、木马等恶意程序就会利用该漏洞入侵感染计算机用户的操作系统，给用户带来一定的危害。     目前，利用微软公司漏洞MS09-002进行网页挂马的现象还没有大范围的扩散，但随着该恶意攻击代码出现在互联网中，很有可能会被恶意攻击者广泛采用来进行网页挂马活动。 专家提醒：     针对上述情况，我们建议广大计算机用户采用如下方法防范：     1、及时下载安装微软公司的MS09-002漏洞补丁程序，下载地址：http://www.microsoft.com/china/technet/security/ bulletin/MS09-002.mspx     2、要及时升级计算机系统中防病毒软件和防火墙；在使用计算机系统浏览网页的时候，最好打开系统中防病毒软件的“实时监控”功能，同时打开防火墙。     3、不要轻易从互联网络上下载运行未经系统中防病毒软件处理过的数据文件或是可疑插件，最好对其进行全面扫描后再运行比较好。

病毒预报  第三百一十七期（2009.3.2-2009.3.8）

国家计算机病毒应急处理中心通过互联网络监测发现，近期Adobe公司的应用软件Adobe Acrobat和Adobe Reader中存在一个“零日”漏洞，该漏洞存在于应用软件的 8.0和9.0版本中。     如果计算机用户的操作系统中这两款应用软件存在“零日”漏洞，一旦用户点击打开特制的PDF文件或是含有特制PDF文件的Web网页时，那么恶意木马程序就会利用该漏洞入侵感染计算机用户的操作系统，随后进行恶意的远程控制，给用户带来一定的危害。     目前，针对该漏洞的补丁程序还没有发布，Adobe公司计划会在2周后（即3月11日）发布该漏洞补丁程序，因此在这一段时间内，恶意攻击者很有可能会借机利用该漏洞进行入侵感染计算机操作系统的破坏活动。     注：Adobe软件中的PDF（Portable Document Format）文件格式是Adobe公司开发的电子文件格式。这种文件格式可以运行在任何操作系统平台上，这一特点使它成为在Internet互联网络上进行电子文档发行和数字化信息传播的理想文档格式。越来越多的电子图书、产品说明、公司文告、网络资料、电子邮件开始使用PDF格式文件。 专家提醒：     针对上述情况，我们建议广大计算机用户采用如下方法进行防范：     1、 计算机用户设置禁用Acrobat脚本程序，防止远程恶意代码被执行。     方法：打开Acrobat reader软件，选择菜单“编辑”->“首选项”，去掉“启用Acrobat Javascript(J)”前的勾，然后点确定。     2、 计算机用户设置禁止操作系统浏览器(如IE|Firefox等)自动打开PDF文档 。     方法：打开Acrobat reader，选择菜单“编辑”->“首选项”->“网络浏览器选项”，去掉“在浏览器中显示PDF”前的勾，然后点确定。

病毒预报  第三百一十八期（2009.3.9-2009.3.15）

国家计算机病毒应急处理中心通过互联网络监测发现，近期“AV终结者”出现新变种（Trojan_KillAV.YI），利用Ｕ盘进行传播。该变种具有和之前出现木马一样的特性,即利用了重定向劫持技术。一旦操作系统遭受感染，系统内的大多数杀毒软件和与安全相关的工具就会无法正常运行。     该变种运行后，会将自身生成可执行文件,并复制到受感染操作系统的系统目录下，随后释放一个动态链接库文件组件和一个恶意驱动程序文件,这两个文件具有“系统”或“隐藏”属性中的一种。释放出来的恶意驱动程序文件会将系统正常的驱动文件替换掉，同时采用一定方式强行关闭系统弹出的“Windows文件保护”提示窗口，使得受感染计算机用户无法察觉操作系统被木马入侵感染。     另外，该变种会将恶意代码注入到系统中浏览器IE进程中并加载运行，以达到自我隐藏的目的，防止被防病毒软件发现并查杀。变种还会导致受感染操作系统自动连接到互联网络上的指定服务器下载后门程序，进而可以远程控制计算机系统，窃取计算机用户的游戏账号、银行密码等信息，对受感染的计算机系统进行更大的破坏。 专家提醒：     针对新出现的变种，我们建议广大计算机用户采用如下方法进行防范：     1、养成使用Ｕ盘、ＭＰ3、移动硬盘等移动储存设备的良好习惯。当外来Ｕ盘接入计算机系统时，切勿双击打开，一定要先经过杀毒处理，或是采用具有Ｕ盘病毒免疫功能的杀毒软件查杀后，再接入计算机系统。另外，关闭微软的“自动播放”功能。     2、及时更新系统中防病毒软件，做到定时升级，定时查杀病毒。     3、到正规的门户网站下载应用程序和软件，避免软件安装包被捆绑进木马病毒。下载后应先对其进行病毒扫描，确认无毒后再安装运行。     4、由于病毒多通过网站进行传播，用户不要随便点击不明链接，不要登录不明网站。

病毒预报  第三百一十九期（2009.3.16-2009.3.22）

国家计算机病毒应急处理中心通过对互联网的监测发现，没有重大病毒出现。但近期很多存在漏洞的Web网站纷纷被挂马。恶意攻击者大多数是利用网站当前存在的漏洞进行木马程序的植入，这些漏洞大部分是利用动画播放软件Flash漏洞、操作系统近期新出现的MS09-002、媒体播放软件RealPlayer 9、10版本的漏洞等。一旦计算机用户点击打开网页，操作系统就会受到被植入恶意木马的入侵感染，随后连接指点服务器并下载其他病毒、木马等恶意程序。最终导致受感染的计算机用户的操作系统会被远程控制，盗取用户系统中的私密信息数据，甚至导致系统崩溃。 专家提醒：     针对这一种情况，我们建议采取以下措施进行防范：     （一）网站管理者要加强网站的监督管理，定期对上传的Web网页文件进行比对，包括文件的创建、更新时间，文件大小等，及时发现异常的Web网页文件。一旦发现异常文件，应立即删除并更新。定期维护升级网站服务器，检查服务器所存在的漏洞和安全隐患。    （二）计算机用户在Web网页时，务必打开计算机系统中防病毒软件的“网页监控”功能。同时，计算机用户应及时下载安装操作系统已安装应用软件的最新漏洞补丁或新版本，防止恶意木马利用漏洞进行入侵感染操作系统。 除此之外，由于恶意木马大多数是通过网站挂马这种方式进行传播，建议用户不要随便点击不明链接，不要登陆不明网站。

病毒预报  第三百二十期（2009.3.23-2009.3.29）

国家计算机病毒应急处理中心通过对互联网的监测发现，近日出现一种专门针对域名系统DNS的木马程序新变种Trojan.Flush.M，该变种会劫持局域网中大量设备的安全设置信息。     该变种运行后，会在受感染的操作系统中建立一个具有欺骗性质的DHCP（动态主机分配协议）服务器，而不会使用网络管理员所建立的合法服务器。一旦局域网内其他操作系统访问互联网络时,就会调用一些恶意的DNS域名服务器，最终导致操作系统访问登录到一些恶意的挂马Web网站，使得操作系统受到更大的危害。     注:DNS 是域名系统 (Domain Name System) 的缩写，该系统用于命名组织到域层次结构中的计算机和网络服务。在Internet上域名与IP地址之间是一一对应的，域名虽然便于人们记忆，但机器之间只能互相认识IP地址，它们之间的转换工作称为域名解析，域名解析需要由专门的域名解析服务器来完成，DNS就是进行域名解析的服务器。 专家提醒：     针对这一种情况，我们建议采取以下措施进行防范： 将DNS服务器参数固定设置，并监视指向所有DNS服务器的链接，一旦发现恶意DNS服务器地址，就立即对其进行屏蔽。

病毒预报  第三百二十一期（2009.3.30-2009.4.5）

国家计算机病毒应急处理中心通过对互联网的监测发现，近日出现一种后门程序新变种Backdoor_Delf.JKT。 该变种运行后，会将自身多个病毒文件复制到受感染计算机操作系统的系统目录下，并且在该目录下释放一组恶意动态链接库文件组件。同时，变种会将这组组件释放并插入到受感染操作系统的重要系统进程文件中，将其隐藏运行，防止其被系统中防病毒软件查杀。     该变种还会迫使受感染计算机系统不断与互联网络中恶意控制端进行尝试性连接，一旦连接成功，受感染操作系统就会成为恶意攻击者的受控主机。随后，恶意攻击者会通过后门程序向受感染计算机系统发送任意恶意代码指令，使得操作系统中的重要信息失窃密，进而导致不同程度的损失。     另外，该变种还会通过修改系统的注册表启动项，使得变种随计算机系统启动而自动被运行。除此之外，变种会迫使受感染的操作系统主动连接访问互联网络中指定的Web服务器，下载其他木马、病毒等恶意程序。 专家提醒：     针对新变种，国家计算机病毒应急处理中心建议广大计算机用户采取如下防范措施：    （一）针对已经感染该变种的计算机用户，我们建议立即升级系统中的防病毒软件，进行全面杀毒。    （二）针对未感染该变种的计算机用户，我们建议打开系统中防病毒软件的“系统监控”功能，从注册表、系统进程、内存、网络等多方面对各种操作进行主动防御，这样可以第一时间监控未知病毒的入侵活动，达到全方位保护计算机系统安全的目的。

病毒预报  第三百二十二期（2009.4.6-2009.4.12）

国家计算机病毒应急处理中心通过对互联网的监测发现，近期很多计算机用户受到一些恶意木马程序的威胁。目前，恶意木马程序有以下的特点。    （一）恶意木马会利用系统漏洞或是第三方软件漏洞进行传播感染     恶意木马程序大多数会利用系统漏洞（如：IE7 的“零日”漏洞等）或是第三方软件漏洞(如：Adobe Acrobat和Adobe Reader的“零日”漏洞)进行传播。如果计算机用户的操作系统存在上述漏洞，恶意木马程序就会借机入侵感染操作系统。    （二）恶意木马传播途径大部分会采用网页挂马的形式     恶意木马程序将特征代码强行嵌入到受攻击入侵的Web网页代码中，使得计算机用户很难识别这些已经被挂马的Web网页。一旦计算机用户访问这个含有恶意代码的Web网页，操作系统就会在后台按照这段恶意代码的指令进行一系列的破坏行为，诸如：跳转到指定的网络服务器下载木马、病毒等恶意程序等。    （三）恶意木马具有很强的隐蔽性和破坏力。     恶意木马程序将自身隐藏于受感染计算机系统中的一些启动项中，并且利用Windows操作系统在启动过程中自动加载某些特定位置所指向的应用进程程序这一过程，进而达到可以随计算机系统启动而自动加载启动的目的。     另外，这些恶意木马程序感染计算机系统后会对系统进行很多的破坏，诸如：未经计算机用户的许可而任意删除或是替换计算机系统中大量数据文件,造成保存在系统中重要的数据文件丢失或被篡改。 专家提醒：     针对上述情况，我们建议计算机用户采取以下防范措施：    （一）网站管理者要加强网站的监督管理，定期对上传的Web网页文件进行比对，包括文件的创建、更新时间，文件大小等，及时发现异常的Web网页文件。一旦发现异常文件，应立即删除并更新。定期维护升级网站服务器，检查服务器所存在的漏洞和安全隐患。    （二）计算机用户在Web网页时，务必打开计算机系统中防病毒软件的“网页监控”功能。同时，计算机用户应及时下载安装操作系统已安装应用软件的最新漏洞补丁或新版本，防止恶意木马利用漏洞进行入侵感染操作系统。

病毒预报  第三百二十三期（2009.4.13-2009.4.19）

国家计算机病毒应急处理中心通过对互联网的监测发现，近期出现“代理木马”新变种Trojan_Agent.GY。该变种是一个专门窃取网络游戏玩家账号和密码信息的恶意木马程序。     该变种运行后，会在被感染计算机系统的系统临时文件目录下释放一组恶意动态链接库文件组件，并设置其属性为“系统”或“隐藏”。变种还会通过读取受感染操作系统的注册表相关键值项，来获取系统中游戏程序的详细安装目录，并将自身复制到该目录下，这样变种就会随游戏程序一并被启动加载运行。     一旦变种插入到游戏进程文件中去，它就会通过消息钩子、内存截取或封包截取等技术手段窃取网络游戏玩家的游戏账号和密码等相关私密信息，随后将这些私密信息发送到互联网络中指定的服务器站点上，导致游戏玩家的游戏账号和密码等私密信息丢失，造成不必要的经济损失。 专家提醒：     针对上述情况，我们建议计算机用户采取以下防范措施：    （一）到正规的门户网站下载应用程序和软件，避免软件安装包被捆绑进木马病毒。下载后应先对其进行病毒扫描，确认无毒后再安装运行；    （二）由于病毒多通过网站进行传播，用户不要随便点击不明链接，不要登录不明网站；    （三）及时升级操作系统中的防病毒软件，打开软件的“实时监控”功能，特别是“网页监控”。

病毒预报  第三百二十四期（2009.4.20-2009.4.26）

近期，微软公司发布了今年4月份的8个系统漏洞补丁程序，其中危害级别“严重”的5个、“重要”的2个及“中等”的1个。国家计算机病毒应急处理中心提醒广大计算机用户特别要注意这三个漏洞补丁程序，它们分别是：    （一）MS09-012：Windows 中的漏洞可能允许特权提升，如果恶意攻击者登录到系统中，然后运行特制的应用程序，这些漏洞可能允许特权提升。恶意攻击者必须要能够在本地计算机上运行代码才能利用此漏洞。成功利用这些漏洞的攻击者可以完全控制受影响的系统。    （二）MS09-013：Windows HTTP 服务中的漏洞可能允许远程执行代码，Windows HTTP服务处理远程Web服务器所返回的特定值的方式存在溢出漏洞。一旦计算机用户受骗登陆访问了恶意Web服务器，就可以触发这个溢出，导致在用户操作系统上任意执行恶意代码。    （三）MS09-014：Internet Explorer 的累积性安全更新，浏览器IE处理在网页间导航时的过渡方式及访问尚未正确初始化或已被删除对象的方式存在多个内存破坏漏洞。恶意攻击者可以通过构建特制的Web网页来利用该漏洞，当用户查看网页时，这些漏洞可能允许远程执行代码。成功利用此漏洞的攻击者可以获得与登录用户相同的用户权限。 专家提醒：     根据以往的经验来看，我们提到的上述那些应注意的漏洞补丁程序很有可能会被恶意攻击者利用来进行病毒传播。计算机用户不可以忽视它们，大家要根据自己的系统情况尽快地下载安装这些补丁程序，防止类似的利用系统漏洞进行恶意攻击现象的发生。

病毒预报  第三百二十五期（2009.4.27-2009.5.3）

国家计算机病毒应急处理中心通过对互联网的监测发现，近期出现“网游大盗”新变种Trojan_PSW.OnlineGames.LK, 它是一个盗号木马程序，专门盗取网络游戏玩家的游戏帐号、游戏密码等信息资料。     该变种运行后，它会释放一组恶意的动态链接库文件组件（扩展名：dll）到游戏的安装目录下，并将其属性设置为系统或隐藏，并且会随游戏的启动而被自动加载运行。变种还会将自身插入到受感染操作系统的浏览器IE和游戏的进程文件中。一旦插入成功，就会通过安装消息钩子等方式来窃取网络游戏玩家的账号和密码等一些个人私密的游戏信息，并将窃取到的信息发送到恶意用户指定的远程服务器Web站点或指定邮箱中。最终导致网络游戏玩家无法正常运行游戏，蒙受到不同程度的经济损失。     另外，由于下周正逢五一假期，这段时间很有可能是一些网络安全事件发生比较频繁的时期。国家计算机病毒应急处理中心建议计算机用户要特别对前一段时间比较流行的病毒（比如：“灰鸽子”、“木马下载者”、“代理木马”等）加强防范措施，了解这些病毒的基本特征，及时升级防病毒软件和防火墙，防范这期间出现的一些病毒和网络攻击事件，特别提醒一些大中型企业计算机用户，要对自己单位内部的局域网在长假期间增派人员加强对网络的维护和管理。 专家提醒：     针对上述变种情况，我们建议广大计算机用户应采取如下措施：     （一）及时升级操作系统中的防病毒软件，打开软件的“实时监控”功能；     （二）定期更新游戏帐号和密码；设置复杂的账户和密码。 除此之外，五一假期间我们建议采取如下防范措施：     （三）个人计算机用户要及时升级系统中防病毒软件和防火墙；在使用计算机系统浏览网页的时候，最好打开系统中防病毒软件的“实时监控”功能，同时打开防火墙；     （四）针对企业计算机用户，单位最好设立专人对本单位局域网络的计算机系统做好统一的安全部署，对在五一长假期间使用的计算机系统要重点做好安全保障措施，防止病毒的入侵破坏，进而感染整个局域网络中的计算机系统，造成严重的损失。