【病毒防范类】病毒周报！Update：（2010.01.18-2010.01.24）

病毒预报  第三百四十三期（2009.9.28-2009.10.4）

国家计算机病毒应急处理中心通过对互联网的监测发现，近期很多中小型Web网站出现被恶意攻击者挂马的现象。一旦计算机用户点击访问这些被植入恶意木马程序的中小型网站，操作系统就会受到木马、病毒等恶意程序的入侵感染。     我们发现这些木马、病毒等恶意程序大部分是一些“木马下载者”(Trojan_Downloader)的新变种。这些“木马下载者”及变种的传播力、破坏力和攻击力都超过了近期比较流行的木马、病毒等恶意程序。该变种运行后，首先会将受感染操作系统的系统文件破坏并替换成病毒文件，随后下载大量其他的木马、病毒等恶意程序文件，最终导致系统崩溃、系统中可执行文件（exe）和网页文件(html)被感染、系统中防病毒软件被禁止无法正常运行。受到入侵感染的操作系统会通过U盘、局域网等方式进行木马、病毒等恶意程序的传播扩散。     目前，中小型Web网站存在的漏洞比较多，大部分疏于网站的安全管理和维护，因此恶意攻击者的攻击目标逐步转移到这些访问量比较大的中小型Web网站上。 专家提醒：     针对这种情况，国家计算机病毒应急处理中心建议广大计算机用户采取如下防范措施：    （一）计算机用户在使用移动硬盘、U盘等介质时最好先杀毒。同时，最好禁用系统的自动播放功能，防止病毒利用U盘、移动硬盘、MP3等移动存储设备入侵感染计算机操作系统。    （二）建议计算机用户打开系统中防病毒软件的“系统监控”功能，从注册表、系统进程、内存、网络等多方面对各种操作进行主动防御，这样可以第一时间监控未知病毒的入侵活动，达到全方位保护计算机系统安全的目的。

病毒预报  第三百四十八期（2009.10.5-2009.10.11）

国家计算机病毒应急处理中心通过对互联网的监测发现，近期没有出现传播范围广、 破坏力强的新病毒。     另外，这周正逢十一长假，计算机用户浏览网页、上网聊天、网络购物等网上活动会频繁出现。计算机用户在浏览器IE中输入的Web网址、登陆网站的账户名和密码；还有计算机用户在进行网上交易时，输入自己的银行账户和密码等信息。这些都是恶意攻击者进行窃取的可用私密信息数据。计算机用户在进行这些网络操作的时候，一定要提高警惕，不要轻易使用陌生计算机进行这些操作，减少自己的个人信息遭到窃取而丢失，最终造成不必要的经济损失。 专家提醒：     十一假期期间，国家计算机病毒应急处理中心建议各重点企、事业单位和个人用户采取以下措施来抵御病毒的侵入。     1、长假过后，各单位要对计算机系统进行全面的检查，做好病毒的预防工作。同时，要建立网络安全及病毒事件出现后的应急机制和处置方案，有专人负责事件处理工作。确保本单位在网络安全及病毒事件发生时能作好及时有效的进行处理，防止病毒感染，遏制病毒扩散，最大程度降低病毒发作带来的损失。     2、长假过后，各单位首先要对计算机系统进行全面系统升级，包括系统补丁升级和各类安全产品的升级，防止计算机系统遭受病毒和木马的入侵。     3、关闭不必要的服务和端口。对不是必须开放并且可能对系统安全形成威胁的端口关闭或使用相应的工具进行实时监测及时发现可疑入侵。     4、遇到可疑的邮件应立即删除，由于很多病毒邮件的发件人也是伪装的，所以用户有可能看到的是熟悉的人发来的邮件，但并不能保证邮件的安全可靠。这就要求用户要了解和掌握流行病毒的基本特征，如病毒邮件的标题和附件名称，提高对病毒邮件的敏感性。

病毒预报  第三百四十九期（2009.10.12-2009.10.18）

国家计算机病毒应急处理中心通过对互联网的监测发现，近期没有出现传播范围广、 破坏力强的新病毒。     另外，计算机用户在浏览器IE中输入的Web网址、登陆网站的账户名和密码；还有计算机用户在进行网上交易时，输入自己的银行账户和密码等信息，这些都是恶意攻击者进行窃取的可用私密信息数据。计算机用户在进行这些网络操作的时候，一定要提高警惕，不要轻易使用陌生计算机进行这些操作，减少自己的个人信息遭到窃取而丢失，最终造成不必要的经济损失。 专家提醒：     国庆节过后，各单位要对计算机系统进行全面的检查，及时升级系统补丁，做好病毒的预防工作，最大程度降低病毒发作带来的损失。     1、各单位要对计算机系统进行全面的检查，做好病毒的预防工作。同时，要建立网络安全及病毒事件出现后的应急机制和处置方案，有专人负责事件处理工作。确保本单位在网络安全及病毒事件发生时能及时有效的进行处理，防止病毒感染，遏制病毒扩散，最大程度降低病毒发作带来的损失。     2、各单位首先要对计算机系统进行全面升级，包括系统补丁升级和各类安全产品的升级，防止计算机系统遭受病毒和木马的入侵。     3、关闭不必要的服务和端口。将不是必须开放并且可能对系统安全形成威胁的端口关闭或使用相应的工具进行实时监测，及时发现可疑入侵。     4、遇到可疑的邮件应立即删除，由于很多病毒邮件的发件人也是伪装的，所以用户有可能看到的是熟悉的人发来的邮件，但并不能保证邮件的安全可靠。这就要求用户要了解和掌握流行病毒的基本特征，如病毒邮件的标题和附件名称，提高对病毒邮件的敏感性。

病毒预报  第三百五十期（2009.10.19-2009.10.25）

国家计算机病毒应急处理中心通过对互联网的监测发现，近期，在互联网络中连续出现很多高校的Web网站被植入恶意木马的现象。目前，现阶段大量考生上网查询研究生报名时间以及相关事宜，正是考生访问各大高校网站，获取有关研究生报考信息的热点时期，一时间互联网络中用户访问高校Web网站的频率会增高，浏览量会增大。     这期间，一旦考生访问了被挂马的高校网站，就会受到恶意木马的入侵感染而受到恶意攻击者的远程控制，进而造成计算机用户系统中重要数据文件被窃取、网上交易的账户和密码等信息丢失。     这些恶意木马传播的途径大部分是利用网页挂马的形式，将恶意特征代码强行嵌入到受攻击入侵的Web网页代码中，使得计算机用户很难识别这些已经被挂马的Web网页。一旦计算机用户访问这个含有恶意代码的Web网页，操作系统就会在后台按照这段恶意代码的指令进行一系列的破坏行为，诸如：跳转到指定的网络服务器下载木马、病毒等恶意程序等。 专家提醒：     针对这种情况，国家计算机病毒应急处理中心建议广大计算机用户采取如下防范措施：    （一）提醒广大报考研究生的考生用户要提高安全意识，务必打开计算机系统中防病毒软件的“网页监控”功能。同时，计算机用户应及时下载安装操作系统已安装应用软件的最新漏洞补丁或新版本，防止恶意木马利用漏洞进行入侵感染操作系统。    （二）建议各大专院校要做好网站服务器安全检查工作，并重点对涉及研究生招考相关的内外网信息系统进行安全防护和加固工作。例如：定期对上传的Web网页文件进行比对，包括文件的创建、更新时间，文件大小等，及时发现异常的Web网页文件。一旦发现异常文件，应立即删除并更新。避免因网络安全问题影响正常的招生工作。

病毒预报  第三百五十一期（2009.10.26-2009.11.1）

国家计算机病毒应急处理中心通过对互联网的监测发现，近期，一个能够阻止计算机用户更新操作系统漏洞补丁程序的病毒Hack_Kido新变种出现在互联网络中。该变种会监视计算机用户操作系统登录的Web网站，一旦发现用户访问微软等指定的Web网站时，就会立即中断关闭Web浏览器进程，使得用户无法从微软网站上获得相应帮助服务。     该变种运行后,它会关闭受感染操作系统自动更新和后台智能传输等服务进程，利用自身携带的密码表,对在同一物理网段内的计算机系统(即网上邻居中的计算机),利用弱口令的方式进行口令猜解。一旦猜解成功，便会通过微软漏洞MS08-067向该网上邻居中的计算机系统发送一个特定的RPC(远程过程调用协议)请求，随后下载病毒主程序并安装对应的病毒文件到系统中。     变种还会利用自身携带释放的一些驱动文件终止操作系统中防毒软件的进程，使其无法正常工作，躲避被查杀，达到自我保护的目的。除此之外，变种会迫使受感染的操作系统主动连接访问互联网络中指定的Web服务器，下载其他木马、病毒等恶意程序。 专家提醒：     针对新变种，国家计算机病毒应急处理中心建议广大计算机用户采取如下防范措施：    （一）针对已经感染该变种的计算机用户，我们建议立即升级系统中的防病毒软件，进行全面杀毒。    （二）针对未感染该变种的计算机用户，我们建议打开系统中防病毒软件的“系统监控”功能，从注册表、系统进程、内存、网络等多方面对各种操作进行主动防御，这样可以第一时间监控未知病毒的入侵活动，达到全方位保护计算机系统安全的目的。

病毒预报  第三百五十二期（2009.11.2-2009.11.8）

国家计算机病毒应急处理中心通过对互联网的监测发现，一个可以篡改操作系统中浏览器IE的恶意木马程序出现在互联网络中。该恶意木马程序被一个自解压文件（扩展名：rar）释放出来，其中包含此木马程序文件和一个网页快捷方式文件。     计算机用户一旦点击运行了该自解压文件，其中的恶意木马程序文件就会自动运行并打开其中的网页快捷方式文件。并且会显示如下信息：“系统错误，不是有效的Win32应用程序，请删除”，以此来蒙骗计算机用户，使其无法及时发现其操作系统受到恶意木马程序的入侵感染。该恶意木马程序还会隐藏受感染操作系统中桌面上原有的浏览器IE快捷方式图标，随即建立一个新的IE快捷方式图标，使得点击该IE快捷方式图标后指向指定的网页地址，并将浏览器IE的主页锁定为该网页地址。     另外，该恶意木马程序还会根据计算机用户操作系统中使用浏览器的类型，选择性地向相应浏览器的收藏夹中释放Web网页链接地址文件。 专家提醒：     针对该恶意木马程序，国家计算机病毒应急处理中心建议广大计算机用户采取如下防范措施：    （一）针对已经感染该木马程序的计算机用户，我们建议立即升级系统中的防病毒软件，进行全面杀毒。    （二）针对未感染该木马程序的计算机用户，我们建议打开系统中防病毒软件的“系统监控”功能，特别是“IE监控”功能。从注册表、系统进程、内存、网络等多方面对各种操作进行主动防御，这样可以第一时间监控未知病毒的入侵活动，达到全方位保护计算机系统安全的目的。

2009年11月12日病毒播报：小心利用系统漏洞的病毒
漏洞, 系统, 播报
一、今日高危病毒简介及中毒现象描述：　　Exploit.IMG-WMF.xl“IMG-WMF漏洞利用者”变种xl是“IMG-WMF漏洞利用者”家族中的最新成员之一，采用“Microsoft Visual C++6.0”编写，经过加壳保护处理。“IMG-WMF漏洞利用者”变种xl运行后，会在被感染系统的临时文件夹下释放恶意程序“svchost.exe”，还会在“%SystemRoot%\system32\drivers\”文件夹下释放两次同名但不同功能的恶意驱动程序“beep.sys”(会覆盖系统的同名文件)，同时修改这些文件的时间属性，以此迷惑用户。其第一次释放的恶意驱动程序会关闭安全软件的自我保护，然后尝试结束大量指定的安全软件进程。利用映像文件劫持干扰安全软件的正常启动，监视系统中存在的窗口标题，如果发现窗口中存在特定的字符串(如“杀毒”、“木马”、“防御”等)便会将该窗口关闭。还会删除相关的注册表项，致使用户无法进入“安全模式”。“IMG-WMF漏洞利用者”变种xl第二次释放的恶意驱动程序会穿透部分文件系统还原软件的保护，并用“IMG-WMF漏洞利用者”变种xl替换系统文件“userinit.exe”。“IMG-WMF漏洞利用者”变种xl会利用释放的恶意程序“svchost.exe”对同网段的计算机进行溢出攻击。如果被攻击的系统未安装“MS08-067”补丁，则会被该病毒所感染。“IMG-WMF漏洞利用者”变种xl会感染除“A:”和“C:”分区外的所有“tar”、“cab”、“tgz”、“zip”和“rar”文件，并将名为“绿化.bat”的自身副本插入到这些文件中。“IMG-WMF漏洞利用者”变种xl还会将“URLmon.DLL”复制到临时文件夹下并重命名为“urlm0n.dll”，以供自身调用。其会连接骇客指定的URL“http://mmc.vyd*.com/ssave.txt”，然后根据该文件中的下载地址列表下载大量的恶意程序，致使用户遭受更大程度的损失。
　　Trojan/StartPage.czn“初始页”变种czn是“初始页”家族中的最新成员之一，采用“BorlandC++”编写，经过加壳保护处理。“初始页”变种czn运行后，会向系统桌面、快速启动栏、IE收藏夹等位置添加IE快捷方式，这些快捷方式均指向骇客指定的页面“http://www.114*.com.cn/lindex.html”。同时，“初始页”变种czn还会修改“傲游”、“腾讯TT”、“Firefox”等浏览器的快捷方式，使得这些浏览器在启动时也会自动访问该页面，从而给骇客带来了非法的经济利益。最后，“初始页”变种czn会访问指定页面“http://121.52.*.85/ClientInfo.aspx”进行推广数量的统计。
　　二、针对以上病毒，54安全版块建议广大用户：
　　1、最好安装专业的杀毒软件进行全面监控并及时升级病毒代码库。建议用户将一些主要监控经常打开，如邮件监控、内存监控等，目的是防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
　　2、请勿随意打开邮件中的附件，尤其是来历不明的邮件。企业级用户可在通用的邮件服务器平台开启监控系统，在邮件网关处拦截病毒，确保邮件客户端的安全。
　　3、企业级用户应及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒。另外为保证企业信息安全，应关闭共享目录并为管理员帐户设置强口令，不要将管理员口令设置为空或过于简单的密码。

病毒预报  第三百五十三期（2009.11.9-2009.11.15）

国家计算机病毒应急处理中心通过对互联网的监测发现，近期出现“U盘杀手”新变种（Worm_Autorun.LSK）。该变种是一个被感染的可执行文件（扩展名：exe）。     变种运行后，它会在受入侵感染操作系统的系统目录下释放恶意驱动程序，并且会将自身图标伪装成Windows默认文件夹的样式，以此来蒙骗计算机用户。变种会将其自身复制到除系统分区以外的所有分区根目录下，将分区下已存在的文件夹隐藏，并且以这些文件夹的名称来自我命名，以此来诱骗计算机用户点击运行变种文件。     另外，变种还会强行篡改受感染操作系统的注册表相关键值项，最终导致系统中“显示系统隐藏文件”功能失效，同时可执行文件的扩展名被隐藏，以此来保护病毒文件不被发现清除掉。变种还会通过安装消息钩子的方式，监视计算机用户操作系统的运行状态，对计算机用户的鼠标、键盘操作以及当前系统中的窗口执行一些恶意破坏行为。 专家提醒：     针对新变种，国家计算机病毒应急处理中心建议广大计算机用户采取如下防范措施：    （一）针对已经感染该变种的计算机用户，我们建议立即升级系统中的防病毒软件，进行全面杀毒。    （二）针对未感染该变种的计算机用户，我们建议打开系统中防病毒软件的“系统监控”功能，从注册表、系统进程、内存、网络等多方面对各种操作进行主动防御，这样可以第一时间监控未知病毒的入侵活动，达到全方位保护计算机系统安全的目的。

病毒预报  第三百五十四期（2009.11.16-2009.11.22）

国家计算机病毒应急处理中心通过对互联网的监测发现，近期出现一种木马程序新变种Trojan_Sasfis.LU。变种会通过移动存储设备进行自我复制传播，一旦发现新的移动存储设备接入操作系统，就会在系统的每个磁盘文区的根目录下创建一个自动运行的配置文件和木马主程序文件，以达到双击盘符使变种被激活的目的。该变种还会将其自身图标伪装成“Windows Media Player”样式，诱使计算机用户点击运行。     该变种运行后，会将自身复制到受感染操作系统的系统目录中并重新给文件命名，其属性设置为“系统、隐藏、只读”中的一种。该变种会创建新的浏览器IE进程(进程名：iexplore.ex)，并将恶意程序代码注入其中隐藏运行。     另外，变种还会将其自身注册为受感染操作系统的系统服务而被运行，随后不断尝试与远程控制端进行连接。一旦连接成功，恶意攻击者就可以通过某些端口进行监听、任意数据包的交换、远程恶意代码指令的发送等操作。最终导致用户计算机系统被远程控制，系统中的文件被恶意删除，系统自动远程下载上传恶意程序文件等，给计算机用户操作系统的安全带来一定的危害。 专家提醒：     针对新变种，国家计算机病毒应急处理中心建议广大计算机用户采取如下防范措施：    （一）针对已经感染该变种的计算机用户，我们建议立即升级系统中的防病毒软件，进行全面杀毒。    （二）针对未感染该变种的计算机用户，我们建议打开系统中防病毒软件的“系统监控”功能，从注册表、系统进程、内存、网络等多方面对各种操作进行主动防御，这样可以第一时间监控未知病毒的入侵活动，达到全方位保护计算机系统安全的目的。

病毒预报  第三百五十五期（2009.11.23-2009.11.29）

国家计算机病毒应急处理中心通过对互联网的监测发现，近期出现一种蠕虫新变种Worm_Piloyd.B。变种会感染操作系统中多种类型文件，例如：可执行文件（exe）、网页文件（html）和脚本文件(asp)等。     该变种运行后，会生成一个动态链接库文件，即变种原文件。变种会加载一些自带的动态链接库文件，使得受感染操作系统中的文件保护功能失效，无法对变种自我复制的链接库文件进行修改，以达到自我保护的目的。随后，变种会修改这些加载动态链接库文件的时间，并启动相应的服务进程。     变种还会利用自身携带释放的一些驱动文件终止操作系统中防毒软件的进程，使其无法正常工作，躲避被查杀，达到自我保护的目的。除此之外，变种会迫使受感染的操作系统主动连接访问互联网络中指定的Web服务器，下载其他木马、病毒等恶意程序。 专家提醒：     针对新变种，国家计算机病毒应急处理中心建议广大计算机用户采取如下防范措施：    （一）针对已经感染该变种的计算机用户，我们建议立即升级系统中的防病毒软件，进行全面杀毒。    （二）针对未感染该变种的计算机用户，我们建议打开系统中防病毒软件的“系统监控”功能，从注册表、系统进程、内存、网络等多方面对各种操作进行主动防御，这样可以第一时间监控未知病毒的入侵活动，达到全方位保护计算机系统安全的目的。