【病毒防范类】病毒周报！Update：（2010.01.18-2010.01.24）

病毒预报  第三百三十六期（2009.7.13-2009.7.19）

国家计算机病毒应急处理中心通过互联网络监测发现，近期出现一种新蠕虫Worm_Ackantta.C，迫使受感染的操作系统自动群发病毒邮件。     该蠕虫利用P2P文件共享软件并伪装成常见的应用程序文件，在共享网络环境中“隐蔽”传播；蠕虫还可以利用可移动存储介质进行传播，并创建对应的自动配置文件。     蠕虫运行后，将其自身复制到受感染操作系统的系统目录下并重命名为可执行文件。蠕虫还会创建或修改受感染操作系统中注册表的相关键值项，使得其自身添加到操作系统防火墙信任列表中，最终使操作系统无法进行系统还原，使系统中防病毒软件无法正常启动等破坏行为。同时，蠕虫还会伪装成系统服务并随系统自动启动。 专家提醒：     针对该蠕虫情况，我们建议广大计算机用户采用如下方法防范：    （一）针对已经感染蠕虫的计算机用户，我们建议立即升级系统中的防病毒软件，进行全面杀毒。    （二）针对未感染蠕虫的计算机用户，我们建议打开系统中防病毒软件的“系统监控”功能，从注册表、系统进程、内存、网络等多方面对各种操作进行主动防御，这样可以第一时间监控未知病毒的入侵活动，达到全方位保护计算机系统安全的目的。    （三）不要随意点击或运行通过邮件系统发来的陌生链接地址或文件，即便是好友发来的文件、图片或网页链接地址也要在确认后再打开。

病毒预报  第三百三十八期（2009.7.27-2009.8.2）

国家计算机病毒应急处理中心通过互联网络监测发现，恶意攻击者利用不久出现的微软视频“零日”漏洞（即MPEG-2“零日”漏洞）进行木马传播。     恶意攻击者会在Web网页中插入一些植入了恶意木马程序的视频文件，大部分这些视频文件的内容都是时下比较热点的话题。一旦计算机用户被诱骗点击访问这些Web网页，就会造成操作系统进程信息文件（文件名：msvidctl.dll）栈溢出并且通过覆盖结构化异常处理的方式，引发零指针错误，，即触发了该“零日”漏洞。最终导致计算机用户操作系统受到这些恶意木马程序的入侵感染。     我们分析发现，该漏洞与5月下旬出现的微软公司“DirectShow视频开发包”“零日”漏洞有相似的地方，都是通过IE浏览器来触发该漏洞。但不同的是，这个MPEG-2“零日”漏洞比较容易被利用，最终使其操作系统变为任由恶意攻击者摆布的网络“肉鸡”。这种攻击方式具有一定的隐蔽性，计算机用户一般很难防范，因而会更容易受到木马产业链等不法分子的青睐。 专家提醒：     针对这种情况，我们建议广大计算机用户采用如下方法防范：    （一）目前，微软公司已经发布针对该视频“零日”漏洞的补丁程序MS09-032：ActiveX Kill Bit累计安全更新，建议广大计算机用户立即下载安装该补丁程序。下载地址：http://www.microsoft.com/china/technet/security /bulletin/MS09-032.mspx    （二）我们建议广大计算机用户打开系统中防病毒软件的“系统监控”功能，从注册表、系统进程、内存、网络等多方面对各种操作进行主动防御，这样可以第一时间监控未知病毒的入侵活动，达到全方位保护计算机系统安全的目的。

病毒预报  第三百三十九期（2009.8.3-2009.8.9）

国家计算机病毒应急处理中心通过互联网络监测发现，Adobe Flash播放器存在“零日”漏洞。恶意攻击者会利用该漏洞进行网页挂马，使得计算机用户的操作系统面临受到“挂马”攻击的危胁。     Adobe Flash播放器的“零日”漏洞出现在其播放器解析Flash文件的过程中。恶意攻击者将一个含有特定代码的Flash文件插入Web网页中，一旦计算机用户浏览打开该网页，那么Adobe Flash播放器的控件文件（即ocx控件）就会被触发而出现溢出，随后执行该Web网页中的恶意代码，最终导致计算机用户操作系统受到这些恶意木马程序的入侵感染。     目前，该“零日”漏洞会影响到Adobe Flash播放器的9和10两大系列多个版本。由于Flash文档的应用很广泛，因此未来一段时间内，预计针对这一漏洞的很多挂马网站会出现在互联网络中。 专家提醒：     针对这种情况，我们建议广大计算机用户采用如下方法防范：    （一）目前，Adobe公司已经发布针对该“零日”漏洞的最新版本的Flash播放器，即Adobe Flash Player 9.0.246 0和Adobe Flash Player 10.0.32.18。建议计算机用户立即下载安装最新版本的Flash播放器。    （二）我们建议广大计算机用户打开系统中防病毒软件的“系统监控”功能，从注册表、系统进程、内存、网络等多方面对各种操作进行主动防御，这样可以第一时间监控未知病毒的入侵活动，达到全方位保护计算机系统安全的目的。

病毒预报  第三百四十期（2009.8.10-2009.8.16）

国家计算机病毒应急处理中心通过互联网络监测发现，近期出现利用移动存储设备（如：U盘）进行传播的“网游大盗”（Trojan_PSW.OnlineGames）新变种，该变种会以捆绑在下载的程序文件中或是网络游戏外挂程序文件中等方式进行传播。该变种是一个专门盗取网络游戏会员账号和密码的木马程序，所涉及到的网络游戏包含目前一些主流的网络游戏在内。     变种运行后，它会先关闭受感染操作系统中正在运行的网络游戏进程文件，并将病毒文件插入桌面进程（explorer.exe）文件中，并且通过安装消息钩子等方式监视当前操作系统的运行状态。一旦窃取到的游戏账号和密码等游戏私密信息，变种就会迫使受感染操作系统自动连接到互联网络上的指定服务器，将这些私密信息上传到服务器中，使得计算机用户受到不同程度的经济损失。 专家提醒：     针对该变种的情况，我们建议广大计算机用户采用如下方法防范：    （一）针对已经感染该变种的计算机用户，我们建议立即升级系统中的防病毒软件，进行全面杀毒。    （二）针对未感染该变种的计算机用户，我们建议打开系统中防病毒软件的“系统监控”功能，从注册表、系统进程、内存、网络等多方面对各种操作进行主动防御，这样可以第一时间监控未知病毒的入侵活动，达到全方位保护计算机系统安全的目的。    （三）计算机用户在使用移动硬盘、U盘等介质时最好先杀毒。同时，最好禁用系统的自动播放功能，防止病毒利用U盘、移动硬盘、MP3等移动存储设备入侵感染计算机操作系统。

病毒预报  第三百四十一期（2009.8.17-2009.8.23）

国家计算机病毒应急处理中心通过对互联网的监测发现，近期出现蠕虫“U盘杀手”的新变种（Worm_Autorun.BDH）。该变种除了继承先前蠕虫通过U盘等可移动存储设备传播等特点之外，还具备了更强的自我保护功能等一些新特点。     变种运行后，会自我复制到受感染计算机操作系统的系统目录下，并在该目录多个文件夹中中生成不同的可执行病毒文件。变种还会创建具有“系统回收站”属性的文件夹并将其自身的副本复制到其中并隐藏。同时，变种修改受感染系统的注册表相关键值项，导致操作系统无法正常显示系统隐藏文件、显示可执行文件的扩展名，甚至还会禁止系统中刻录机软件、媒体播放软件以及蓝牙设备等进程的运行。     另外，变种会不停地向受感染系统所有磁盘分区的根目录写入变种主程序文件和配置文件（autorun.inf）。一旦计算机用户点击任意盘符，就会启动运行该变种。该变种还会通过修改系统的注册表启动项，使得变种随计算机系统启动而自动被运行。 专家提醒：     针对新变种，国家计算机病毒应急处理中心建议广大计算机用户采取如下防范措施：    （一）针对已经感染该变种的计算机用户，我们建议立即升级系统中的防病毒软件，进行全面杀毒。    （二）针对未感染该变种的计算机用户，我们建议打开系统中防病毒软件的“系统监控”功能，从注册表、系统进程、内存、网络等多方面对各种操作进行主动防御，这样可以第一时间监控未知病毒的入侵活动，达到全方位保护计算机系统安全的目的。    （三）计算机用户在使用移动硬盘、U盘等介质时最好先杀毒。同时，最好禁用系统的自动播放功能，防止病毒利用U盘、移动硬盘、MP3等移动存储设备入侵感染计算机操作系统。

病毒预报  第三百四十二期（2009.8.24-2009.8.30）

国家计算机病毒应急处理中心通过对互联网的监测发现，近期出现一种利用点对点（P2P）网络资源共享软件进行传播的后门程序新变种Backdoor_Shift.P。     该变种运行后，会将其自我复制到受感染操作系统的系统目录文件夹中，并重命名为一个可执行文件。该变种会在被感染计算机的后台遍历当前系统中所有正在运行的进程，一旦发现防病毒软件的进程在运行，就立即将其终止，使计算机用户很难发现其自身，最终逃避防病毒软件的查杀。同时，它会创建某些系统服务和修改注册表，以实现随操作系统一起自启动。     另外，变种还会将其自身注册为受感染操作系统的系统服务而被运行，随后不断尝试与远程控制端进行连接。一旦连接成功，恶意攻击者就可以通过某些端口进行监听、任意数据包的交换、远程恶意代码指令的发送等操作。最终导致用户计算机系统被远程控制，系统中的文件被恶意删除，系统自动远程下载上传恶意程序文件等，给计算机用户操作系统的安全带来一定的危害。 专家提醒：     针对新变种，国家计算机病毒应急处理中心建议广大计算机用户采取如下防范措施：    （一）针对已经感染该变种的计算机用户，我们建议立即升级系统中的防病毒软件，进行全面杀毒。    （二）针对未感染该变种的计算机用户，我们建议打开系统中防病毒软件的“系统监控”功能，从注册表、系统进程、内存、网络等多方面对各种操作进行主动防御，这样可以第一时间监控未知病毒的入侵活动，达到全方位保护计算机系统安全的目的。

病毒预报  第三百四十三期（2009.8.31-2009.9.6）

国家计算机病毒应急处理中心通过对互联网的监测发现，近期出现一种新型病毒。专门感染安装有开发工具软件（Delphi）的计算机系统。一旦该病毒入侵感染操作系统，那么程序员今后使用该操作系统编写出的任何程序文件都将带有该病毒。（Delphi是Windows应用程序开发工具，是大部分程序设计人员常用的编程工具。）     我们分析发现该病毒有如下特征：     1.只针对安装有delphi开发工具软件的计算机系统，具有一定的隐蔽性。病毒运行后，仅在受感染的计算机系统上编译EXE或DLL程序文件时，将病毒代码植入其中。即使在没有安装delphi的操作系统上运行被植入病毒代码的EXE或DLL程序时，也不会出现任何的破坏行为。另外，如果病毒没有检测到操作系统中安装有delphi软件，病毒也不会继续自身繁殖和进步的扩散传播。     2.当随着被感染文件进入操作系统中，病毒会开始检验操作系统中是否存在开发工具软件（Delphi）的运行环境，并通过循环检测注册表键值的方法来查找dephi的安装目录。一旦发现存在，就会将恶意代码插入开发工具软件调用的文件中。该文件编译的时候，会生成一个新文件并被添加到每个新开发出来的工程文件中。这样一来，程序设计人员所编写的程序中就会全部携带病毒。     3.该病毒具有二次感染的能力，即编译出来的所有开发程序都可以再次感染操作系统中的开发工具软件的库文件。 专家提醒：     针对该病毒，国家计算机病毒应急处理中心建议广大计算机用户采取如下防范措施：    （一）针对已经感染该病毒的计算机用户，我们建议立即升级系统中的防病毒软件，扫描所有的开发工具软件Delphi编写的可执行文件并清除病毒；或直接删除所有Delphi编写的可执行文件，包括从互联网络中下载的可执行文件。    （二）针对未感染该病毒的计算机用户，我们建议打开系统中防病毒软件的“系统监控”功能，从注册表、系统进程、内存、网络等多方面对各种操作进行主动防御，这样可以第一时间监控未知病毒的入侵活动，达到全方位保护计算机系统安全的目的。

病毒预报  第三百四十三期（2009.9.7-2009.9.13）

国家计算机病毒应急处理中心通过对互联网的监测发现，近期出现“网游大盗”新变种Trojan_PSW.OnlineGames.BB, 它是一个盗号木马程序，专门盗取网络游戏玩家的游戏帐号、游戏密码等信息资料。     该变种运行后，它会释放一组恶意的动态链接库文件组件（扩展名：dll）到游戏的安装目录下，并将其属性设置为系统或隐藏，并且会随游戏的启动而被自动加载运行。变种还会将自身插入到受感染操作系统的浏览器IE和游戏的进程文件中。一旦插入成功，就会通过安装消息钩子等方式来窃取网络游戏玩家的账号和密码等一些个人私密的游戏信息，并将窃取到的信息发送到恶意用户指定的远程服务器Web站点或指定邮箱中。最终导致网络游戏玩家无法正常运行游戏，蒙受到不同程度的经济损失。 专家提醒：     针对上述变种情况，我们建议广大计算机用户应采取如下措施：     (一)及时升级操作系统中的防病毒软件，打开软件的“实时监控”功能；     (二)定期更新游戏帐号和密码；设置复杂的账户和密码。

病毒预报  第三百四十三期（2009.9.14-2009.9.20）

国家计算机病毒应急处理中心通过对互联网的监测发现，近期出现“U盘杀手”新变种（Worm_Autorun.SUL）。该变种除了继承先前蠕虫通过U盘等可移动存储设备传播等特点之外，还具备利用互联网络中挂马网站进行传播等新特点。     变种运行后，会将其自身植入到受入侵感染的操作系统中，并且伪装成与系统文件具有类似名称的病毒文件，以此来蒙骗计算机用户。变种会将这些与系统文件类似名称的病毒文件注册为受感染操作系统的系统服务和硬件设备。一旦计算机用户双击U盘或单击系统中所有磁盘分区，该变种就会自动被运行或传播入侵到其他的操作系统中。     变种还会利用自身携带释放的一些驱动文件终止操作系统中防毒软件的进程，使其无法正常工作，躲避被查杀，达到自我保护的目的。除此之外，变种会迫使受感染的操作系统主动连接访问互联网络中指定的Web服务器，下载其他木马、病毒等恶意程序。 专家提醒：     针对新变种，国家计算机病毒应急处理中心建议广大计算机用户采取如下防范措施：     （一）针对已经感染该变种的计算机用户，我们建议立即升级系统中的防病毒软件，进行全面杀毒。     （二）针对未感染该变种的计算机用户，我们建议打开系统中防病毒软件的“系统监控”功能，从注册表、系统进程、内存、网络等多方面对各种操作进行主动防御，这样可以第一时间监控未知病毒的入侵活动，达到全方位保护计算机系统安全的目的。

病毒预报  第三百四十三期（2009.9.21-2009.9.27）

国家计算机病毒应急处理中心通过对互联网的监测发现，近期出现“木马下载者”新变种(Trojan_Downloader.GRP)。该变种会释放一个自动可执行的程序文件，伪装成病毒扫描程序扫描受感染操作系统中的文件，谎报系统中存在大量的恶意木马程序或病毒。     变种运行后，会在受感染操作系统的系统目录下释放一个经过加壳程序保护的恶意可执行程序，并且释放一组恶意驱动程序文件，同时关闭操作系统中系统文件的保护提示，防止病毒文件在覆盖系统文件时被计算机用户察觉。变种为伪装成病毒扫描程序的可执行文件创建注册表项，使其自动被加载运行。变种还会篡改受感染操作系统的相关注册表键值项，禁止操作系统中防火墙以及Windows安全中心的运行。     除此之外，变种会迫使受感染的操作系统主动连接访问互联网络中指定的Web服务器，下载其他木马、病毒等恶意程序。 专家提醒：     针对新变种，国家计算机病毒应急处理中心建议广大计算机用户采取如下防范措施：     （一）针对已经感染该变种的计算机用户，我们建议立即升级系统中的防病毒软件，进行全面杀毒。     （二）针对未感染该变种的计算机用户，我们建议打开系统中防病毒软件的“系统监控”功能，从注册表、系统进程、内存、网络等多方面对各种操作进行主动防御，这样可以第一时间监控未知病毒的入侵活动，达到全方位保护计算机系统安全的目的。