【病毒防范类】病毒周报！Update：（2010.01.18-2010.01.24）

病毒预报  第三百二十六期（2009.5.4-2009.5.10）

国家计算机病毒应急处理中心通过对互联网的监测发现，近期没有出现传播范围广、 破坏力强的新病毒。     另外，这周正逢五一假期，计算机用户浏览网页、上网聊天、网络购物等网上活动会频繁出现。计算机用户在浏览器IE中输入的Web网址、登陆网站的账户名和密码；还有计算机用户在进行网上交易时，输入自己的银行账户和密码等信息。这些都是恶意攻击者进行窃取的可用私密信息数据。计算机用户在进行这些网络操作的时候，一定要提高警惕，不要轻易使用陌生计算机进行这些操作，减少自己的个人信息遭到窃取而丢失，最终造成不必要的经济损失。 专家提醒：     五一假期期间，国家计算机病毒应急处理中心建议各重点企、事业单位和个人用户采取以下措施来抵御病毒的侵入。     1、各单位要对计算机系统进行全面的检查，做好病毒的预防工作。同时，要建立网络安全及病毒事件出现后的应急机制和处置方案，有专人负责事件处理工作。确保本单位在网络安全及病毒事件发生时能作好及时有效的进行处理，防止病毒感染，遏制病毒扩散，最大程度降低病毒发作带来的损失。     2、关闭不必要的服务和端口。对不是必须开放并且可能对系统安全形成威胁的端口关闭或使用相应的工具进行实时监测及时发现可疑入侵。     3、遇到可疑的邮件应立即删除，由于很多病毒邮件的发件人也是伪装的，所以用户有可能看到的是熟悉的人发来的邮件，但并不能保证邮件的安全可靠。这就要求用户要了解和掌握流行病毒的基本特征，如病毒邮件的标题和附件名称，提高对病毒邮件的敏感性。

病毒预报  第三百二十七期（2009.5.11-2009.5.17）

国家计算机病毒应急处理中心通过对互联网的监测发现，近期没有出现传播范围广、 破坏力强的新病毒。     近期，病毒传播仍然会以蠕虫和木马为主，其主要传播途径是网络共享、网页挂马或电子邮件等。这些蠕虫和木马入侵感染Windows操作系统，使得操作系统无法正常使用，最终导致系统中的数据信息被窃取，计算机用户受到更大程度的损害。另外，由于这些蠕虫和木马的变种出现频繁高，呈现繁衍速度快、传播途径多样化、危害性强、隐蔽性强等新特点，因此给计算机用户的防护工作带来很大困难。     另外，病毒、木马的传播过程中，第三方软件的漏洞常常被大量利用，一方面是由于这些软件的用户众多，使得恶意攻击者有相当大的攻击目标。另一方面由于第三方软件的厂商软件更新的速度不足够快，使得针对该种漏洞的恶意Web网页长时间在网上肆虐。再者是由于用户针对第三方软件的安全更新意识比较低所导致，而大部分用户已养成对操作系统及时更新的好习惯。 专家提醒：     我们建议重点单位的计算机用户应及时对系统进行安全扫描，安装系统补丁，修补操作系统和应用软件漏洞。特别是对第三方软件的安装使用要严格管理，对必须使用的第三方软件要保证及时更新。

病毒预报  第三百二十八期（2009.5.18-2009.5.24）

国家计算机病毒应急处理中心通过对互联网的监测发现，近期出现“代理木马”新变种(Trojan_Agent.AOCS)。该变种会捆绑到在线视频播放器软件的安装程序文件中，以诱骗计算机用户点击下载安装视频播放器软件，从而进行传播。     该变种运行后，会将其自身内嵌的恶意木马程序释放出来并运行。意木马程序运行后，会使感染的计算机系统自动连接互联网络中的指定服务器，随后下载其它病毒、木马等恶意程序，最终导致计算机用户系统中各种私密信息以及账户数据信息被窃取。变种还会修改受感染操作系统的注册表启动项，实现其开机自动运行。     另外，变种释放出来的恶意软件还会定时按照指定的网络链接地址来下载运行一个可执行的恶意程序文件，使得计算机用户无法正常上网浏览Web网页和使用计算机系统。 专家提醒：     针对新变种，国家计算机病毒应急处理中心建议广大计算机用户采取如下防范措施：    (一)针对已经感染该变种的计算机用户，我们建议立即升级系统中的防病毒软件，进行全面杀毒。    (二)针对未感染该变种的计算机用户，我们建议打开系统中防病毒软件的“系统监控”功能，从注册表、系统进程、内存、网络等多方面对各种操作进行主动防御，这样可以第一时间监控未知病毒的入侵活动，达到全方位保护计算机系统安全的目的。    (三)不要轻易从互联网络上下载运行未经系统中防病毒软件处理过的数据文件或是可疑插件，最好对其进行全面扫描后再运行比较好。

病毒预报  第三百二十九期（2009.5.25-2009.5.31）

国家计算机病毒应急处理中心通过对互联网的监测发现，近期出现通过移动存储设备进行传播的新蠕虫(Worm_Fiala.A)。该蠕虫利用Windows操作系统自带的标准文件图标（文件后缀名为：Jpeg）来诱使计算机用户点击运行，从而入侵感染操作系统。     该蠕虫运行后，会将其自身复制到受感染操作系统的系统目录下，并将其后缀名进行修改重命名。蠕虫具有一定的隐蔽性，他会将自身携带的驱动程序文件释放到Windows系统存放字体的文件目录中进行加载执行，导致操作系统中的防病毒软件无法将其查杀。与此同时，该蠕虫采用了映像劫持技术，通过篡改受感染系统注册表中的特定键值项，使得防病毒软件无法正常启动。     另外，该蠕虫会将自身拷贝到受感染操作系统硬盘的各个分区及移动存储设备中，并在各磁盘分区的根目录下添加相应可自动运行的配置文件（Autorun.inf），使得计算机用户打开磁盘时自动执行蠕虫拷贝文件。     蠕虫还会迫使受感染的操作系统主动连接访问互联网络中指定的Web服务器，下载其他木马、病毒等恶意程序。 专家提醒：     针对该蠕虫，国家计算机病毒应急处理中心建议广大计算机用户采取如下防范措施：     (一)针对已经感染该蠕虫的计算机用户，我们建议立即升级系统中的防病毒软件，进行全面杀毒。     (二)针对未感染该蠕虫的计算机用户，我们建议打开系统中防病毒软件的“系统监控”功能，从注册表、系统进程、内存、网络等多方面对各种操作进行主动防御，这样可以第一时间监控未知病毒的入侵活动，达到全方位保护计算机系统安全的目的。     (三)计算机用户在使用移动硬盘、U盘等介质时最好先杀毒。同时，最好禁用系统的自动播放功能，防止病毒利用U盘、移动硬盘、MP3等移动存储设备入侵感染计算机操作系统。

病毒预报  第三百三十期（2009.6.1-2009.6.7）

国家计算机病毒应急处理中心通过对互联网的监测发现，近期出现“代理木马”新变种(Trojan_Agent.CGJO)。该变种会通过Web网页挂马方式入侵感染计算机用户的操作系统。     该变种运行后，会将其自身内嵌的恶意木马程序释放出来并运行，同时删除自身，防止操作系统中防病毒软件的查杀。恶意木马程序运行后，会使感染的计算机系统自动连接互联网络中的指定服务器，随后下载其它病毒、木马等恶意程序，其中还包括一些后缀名为obj的文件。这些obj文件为某种广告间谍软件的浏览器辅助对象(BHO)。变种最终导致计算机用户系统中各种私密信息以及账户数据信息被窃取。     另外，变种还会修改受感染操作系统的注册表相关键值项，阻止搜索引擎工具栏的安装运行。     注：BHO是微软公司推出的作为浏览器IE对第三方程序员开放交互接口的业界标准，通过简单的代码就可以进入浏览器IE中的交互接口。通过这个接口，程序员可以编写代码获取浏览器的行为，比如“后退”、“前进”、“当前页面”等。 专家提醒：     针对新变种，国家计算机病毒应急处理中心建议广大计算机用户采取如下防范措施：     (一)针对已经感染该变种的计算机用户，我们建议立即升级系统中的防病毒软件，进行全面杀毒。     (二)针对未感染该变种的计算机用户，我们建议打开系统中防病毒软件的“系统监控”功能，从注册表、系统进程、内存、网络等多方面对各种操作进行主动防御，这样可以第一时间监控未知病毒的入侵活动，达到全方位保护计算机系统安全的目的。     (三)不要轻易从互联网络上下载运行未经系统中防病毒软件处理过的数据文件或是可疑插件，最好对其进行全面扫描后再运行比较好。

病毒预报  第三百三十一期（2009.6.8-2009.6.14）

国家计算机病毒应急处理中心通过对互联网的监测发现，近期出现一种利用可移动存储介质（如：U盘等）进行传播的新蠕虫（Worm_Korron.B）。该蠕虫会修改受感染系统的系统设置、替换系统中的特定文件、终止系统中防病毒软件的进程，以便伪装自己，使计算机用户很难发现其自身，最终逃避防病毒软件的查杀。    蠕虫运行后，会将其自身复制到受感染操作系统中的所有磁盘分区根目录和可移动存储介质中，并创建一个自动运行配置文件（autorun.inf）。同时，蠕虫还会创建一系列注册表项以禁止启动Windows命令行提示、任务管理器和注册表编辑器等界面窗口，禁止Windows系统的还原功能，禁止显示隐藏文件，开启自动运行等功能。    另外，蠕虫还会扫描受感染操作系统中所有可访问的磁盘分区，将系统中具有特定后缀名的文件在先做备份后再用蠕虫自身替换。 专家提醒：    针对新蠕虫，国家计算机病毒应急处理中心建议广大计算机用户采取如下防范措施：    (一)针对已经感染该蠕虫的计算机用户，我们建议立即升级系统中的防病毒软件，进行全面杀毒。    (二)针对未感染该蠕虫的计算机用户，我们建议打开系统中防病毒软件的“系统监控”功能，从注册表、系统进程、内存、网络等多方面对各种操作进行主动防御，这样可以第一时间监控未知病毒的入侵活动，达到全方位保护计算机系统安全的目的。    (三)计算机用户在使用移动硬盘、U盘等介质时最好先杀毒。同时，最好禁用系统的自动播放功能，防止病毒利用U盘、移动硬盘、MP3等移动存储设备入侵感染计算机操作系统。

病毒预报  第三百三十二期（2009.6.15-2009.6.21）

国家计算机病毒应急处理中心通过对互联网的监测发现，近期，在互联网络中连续出现很多高校的Web网站被植入恶意木马的现象。目前高考已经结束，现阶段正是考生和家长访问各大高校网站，获取填报志愿信息的热点时期，一时间互联网络中用户访问高校Web网站的频率会增高，浏览量会增大。     这期间，一旦考生和家长访问了被挂马的高校网站，就会受到恶意木马的入侵感染而受到恶意攻击者的远程控制，进而造成计算机用户系统中重要数据文件被窃取、网上交易的账户和密码等信息丢失。     这些恶意木马传播的途径大部分是利用网页挂马的形式，将恶意特征代码强行嵌入到受攻击入侵的Web网页代码中，使得计算机用户很难识别这些已经被挂马的Web网页。一旦计算机用户访问这个含有恶意代码的Web网页，操作系统就会在后台按照这段恶意代码的指令进行一系列的破坏行为，诸如：跳转到指定的网络服务器下载木马、病毒等恶意程序等。     其实，现在网页挂马不仅仅通过嵌入恶意特征代码，还会利用很多应用软件（例如：各种及时聊天工具、下载工具、媒体播放器、搜索工具条等）的漏洞来进行传播。由于使用这些应用软件的用户群比较多，受到恶意木马入侵的机会就会增大，因此恶意攻击者常常会把目标锁定在利用这些应用软件的漏洞来传播恶意木马程序。 专家提醒：     针对这种情况，国家计算机病毒应急处理中心建议广大计算机用户采取如下防范措施：    (一)提醒广大考生及家长用户要提高安全意识，务必打开计算机系统中防病毒软件的“网页监控”功能。同时，计算机用户应及时下载安装操作系统已安装应用软件的最新漏洞补丁或新版本，防止恶意木马利用漏洞进行入侵感染操作系统。    (二)建议各大专院校要做好网站服务器安全检查工作，并重点对涉及高考招生相关的内外网信息系统进行安全防护和加固工作。例如：定期对上传的Web网页文件进行比对，包括文件的创建、更新时间，文件大小等，及时发现异常的Web网页文件。一旦发现异常文件，应立即删除并更新。避免因网络安全问题影响正常的招生工作。

病毒预报  第三百三十三期（2009.6.22-2009.6.28）

国家计算机病毒应急处理中心通过互联网络监测发现，近期出现“灰鸽子”新变种(Backdoor_GreyPigeon.QKO)。该变种会利用网页挂马等方式进行传播，一旦计算机操作系统受到该变种的入侵感染，就会被恶意攻击者远程控制。     该变种运行后，会将其自身拷贝到受感染操作系统的系统目录下，生成与该目录中重要系统文件相似的文件名，并设置其属性为隐藏、系统、只读中的一种，使得计算机用户无法察觉后门程序的存在。同时，它会创建某些系统服务和修改注册表，以实现随操作系统一起自启动。它还会在受感染操作系统中新建浏览器IE进程，将其属性设为隐藏，并将病毒文件自身插入到该进程中。     另外，变种会在受感染操作系统后台记录用户键盘操作，恶意攻击者可以任意窃取计算机用户系统中的个人私密信息和本地系统信息等，并将该信息发送给恶意攻击者。最终导致用户计算机系统被远程控制，系统中的文件被恶意删除，系统自动远程下载上传恶意程序文件等，给计算机用户操作系统的安全带来一定的危害。 专家提醒：     针对该变种的情况，我们建议广大计算机用户采用如下方法防范：     1、要及时升级计算机系统中防病毒软件和防火墙；在使用计算机系统浏览网页的时候，最好打开系统中防病毒软件的“实时监控”功能，同时打开防火墙。     2、不要轻易从互联网络上下载运行未经系统中防病毒软件处理过的数据文件或是可疑插件，最好对其进行全面扫描后再运行比较好。     3、要及时下载安装系统漏洞补丁程序，给系统管理员帐户设置比较复杂的密码，最好秘密位数多，例如：字母+数字+其它符号的组合；也可以禁用/删除一些不使用的系统帐户。     4、关闭一些系统中不需要的服务进程，没有特殊的情况下，最好关闭没有必要的共享磁盘分区。

病毒预报  第三百三十四期（2009.6.29-2009.7.5）

国家计算机病毒应急处理中心通过互联网络监测发现，近期出现一种利用Word图标进行伪装的新型蠕虫。该蠕虫利用Word图标伪装在受感染计算机系统中，通过即时聊天工具（如：MSN等）进行传播，诱使计算机用户点击运行伪装图标而入侵感染操作系统。     该蠕虫运行后，将会打开一个Word文档以掩盖其破坏行为，同时会将自身拷贝到办公自动化处理软件（如：Adobe和Microsoft Office）的安装目录下，并将其名称重命名为和系统正常应用程序文件类似的文件名，使得受感染的计算机用户无法察觉其存在。     另外，该蠕虫还会修改受感染操作系统的注册表相关的键值项，致使计算机用户无法正常进入操作系统的安全模式进行启动。该蠕虫还会导致受感染操作系统自动连接到互联网络上的指定服务器下载后门程序，进而可以远程控制计算机系统，窃取计算机用户的游戏账号、银行密码等信息，对受感染的计算机系统进行更大的破坏。 专家提醒：     针对该蠕虫的情况，我们建议广大计算机用户采用如下方法防范：    （一）针对已经感染该蠕虫的计算机用户，我们建议立即升级系统中的防病毒软件，进行全面杀毒。    （二）针对未感染该蠕虫的计算机用户，我们建议打开系统中防病毒软件的“系统监控”功能，从注册表、系统进程、内存、网络等多方面对各种操作进行主动防御，这样可以第一时间监控未知病毒的入侵活动，达到全方位保护计算机系统安全的目的。    （三）不要随意点击或运行通过QQ、MSN发来的陌生链接地址或文件（特别是图标为word的文件），即便是好友发来的文件、图片或网页链接地址也要在确认后再打开。

病毒预报  第三百三十五期（2009.7.6-2009.7.12）

国家计算机病毒应急处理中心通过互联网络监测发现，近期出现很多蠕虫利用MSN进行传播的现象。一旦操作系统受到这些蠕虫的入侵感染，系统中MSN就会自动向列表中的好友发送陌生的网页地址链接，而自己却完全不知情，甚至根本没有登陆MSN。     这些蠕虫感染操作系统后，会迫使MSN自动向好友发送任意的网页地址链接或一些病毒文件，好友受骗点击了链接或点击打开了这些病毒文件，其操作系统就会受到该蠕虫的入侵感染。通常计算机用户收到的这些网页地址链接都会指向某个特定的Web网页，网页要求或诱使计算机用户提交自己的MSN帐号、密码等信息。一旦获取了这些私密信息，网站后台的MSN机器人程序就会自动登录，随后向好友发送地址链接。     计算机用户收到的网页地址链接大部分不带有病毒，它们只是广告推广的地址链接，但是网站页面内容通常会诱骗计算机用户提交自己的MSN帐号、密码等私密信息。由于大多数用户的MSN帐号、密码和hotmail邮箱帐号密码是一致的，因此还会造成hotmail邮箱的信息泄露。这种方式常常被某些网站用于提高访问流量而采取的非法广告手段。 专家提醒：     针对这种情况，我们建议广大计算机用户采用如下方法防范：    （一）针对已经感染蠕虫的计算机用户，我们建议立即升级系统中的防病毒软件，进行全面杀毒。    （二）针对未感染蠕虫的计算机用户，我们建议打开系统中防病毒软件的“系统监控”功能，从注册表、系统进程、内存、网络等多方面对各种操作进行主动防御，这样可以第一时间监控未知病毒的入侵活动，达到全方位保护计算机系统安全的目的。    （三）不要随意点击或运行通过MSN发来的陌生链接地址或文件，即便是好友发来的文件、图片或网页链接地址也要在确认后再打开。    （四）不要随意提交自己的MSN帐号和密码；如发现自己的MSN被恶意利用发送广告，请及时修改MSN密码。