【病毒防范类】病毒周报！Update：（2010.01.18-2010.01.24）

病毒预报  第三百五十六期（2009.11.30-2009.12.6）

国家计算机病毒应急处理中心通过对互联网的监测发现，近期出现“木马载器”（Trojan_Downloader) 新变种。     该变种运行后，会在受感染操作系统的系统目录下释放一个经过加壳程序保护的恶意可执行程序，并且释放一组恶意驱动程序文件，其文件名是随机的。同时，变种可以利用释放出的恶意驱动程序文件破破坏操作系统中的一些还原程序的保程序，防止病毒文件在覆盖系统文件时被计算机用户察觉。     变种还会利用恶意程序文件将浏览器IE的进程文件覆盖，以此实现开机自动启动的功能。同时，变种伪装成病毒扫描程序的可执行文件创建注册表项，使其自动被加载运行。变种还会篡改受感染操作系统的相关注册表键值项，禁止操作系统中防火墙以及Windows安全中心的运行。除此之外，变种会迫使受感染的操作系统主动连接访问互联网络中指定的Web服务器，下载其他木马、病毒等恶意程序。 专家提醒：     针对新变种，国家计算机病毒应急处理中心建议广大计算机用户采取如下防范措施：    （一）针对已经感染该变种的计算机用户，我们建议立即升级系统中的防病毒软件，进行全面杀毒。    （二）针对未感染该变种的计算机用户，我们建议打开系统中防病毒软件的“系统监控”功能，从注册表、系统进程、内存、网络等多方面对各种操作进行主动防御，这样可以第一时间监控未知病毒的入侵活动，达到全方位保护计算机系统安全的目的。

病毒预报  第三百五十七期（2009.12.7-2009.12.13）

国家计算机病毒应急处理中心通过对互联网的监测发现，近期出现一些音乐播放软件嵌入恶意木马程序的现象。与“网页挂马”类似的是恶意攻击者把恶意代码嵌入到音乐播放软件中，一旦安装了该软件的操作系统存在着系统漏洞，系统就会自动从指定服务器上下载运行其他病毒、木马等恶意程序，使得操作系统受到入侵感染。     这些音乐播放软件大部分是经过二次开发的各种绿色版、简化版、破解版软件。这些版本的软件不仅缺失很多功能，而且还会出现在某些在线音乐Web网站中。这些网站为了利益主动帮助恶意攻击者进行挂马。比如：在线音乐网站上会弹出窗口要求计算机用户安装专用音乐播放器插件，其中大部分捆绑了恶意木马程序。一旦计算机用户下载运行，操作系统就会受到其他一些盗号木马等恶意程序的入侵感染。     由于这些音乐播放器软件都内嵌了浏览器IE，和正常浏览器一样会显示Web页面的内容。例如：近期比较热门的歌曲、新歌速递、在线搜索等内容，因此受到恶意攻击者的关注，随即加以利用进行攻击破坏活动。 专家提醒：     针对这种情况，国家计算机病毒应急处理中心建议广大计算机用户采取如下防范措施：    （一）我们建议尽量到官方网站下载安装音乐播放软件，及时发现操作系统存在的漏洞，尽快更新下载安装漏洞补丁程序，防止恶意攻击者利用挂马播放器软件入侵感染存在漏洞的操作系统。    （二）我们建议打开系统中防病毒软件的“系统监控”功能，从注册表、系统进程、内存、网络等多方面对各种操作进行主动防御，这样可以第一时间监控未知病毒的入侵活动，达到全方位保护计算机系统安全的目的。

病毒预报  第三百五十八期（2009.12.14-2009.12.20）

近期，微软公司发布了今年12月份的6个系统漏洞补丁程序，其中危害级别“严重”的3个、“重要”的3个。国家计算机病毒应急处理中心提醒广大计算机用户特别要注意这三个漏洞补丁程序，它们分别是：     （一）MS09-071：Internet 验证服务内的漏洞可能允许远程执行代码，此安全更新可解决 Microsoft Windows 中两个秘密报告的漏洞。 如果在处理 PEAP 验证尝试时错误地将 Internet 验证服务服务器接收到的信息复制到内存中，这些漏洞可能允许远程执行代码。 成功利用这些漏洞的攻击者可以完全控制受影响的系统。使用 Internet 验证服务的服务器只会在将 PEAP 与 MS-CHAP v2 验证一起使用时受到影响。     （二）MS09-072：Internet Explorer 的累积性安全更新，此安全更新可解决 Internet Explorer 中四个秘密报告的漏洞和一个公开披露的漏洞。 如果用户使用 Internet Explorer 查看特制网页，则所有漏洞可能允许远程执行代码。 那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。 使用 Microsoft 活动模板库 (ATL) 标头构建的 ActiveX 控件可能允许远程执行代码；Microsoft 安全通报 973882 和 Microsoft 安全公告 MS09-035 中描述了此漏洞。     （三）MS09-074：Microsoft Office Project 中的漏洞可能允许远程执行代码，此安全更新解决了 Microsoft Office Project 中一个秘密报告的漏洞。 如果用户打开特制的 Project 文件，该漏洞可能允许远程执行代码。 成功利用此漏洞的攻击者可以完全控制受影响的系统。 攻击者可随后安装程序；查看、更改或删除数据；或者创建拥有完全用户权限的新帐户。 那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。 专家提醒：     根据以往的经验来看，我们提到的上述那些应注意的漏洞补丁程序很有可能会被恶意攻击者利用来进行病毒传播。计算机用户不可以忽视它们，大家要根据自己的系统情况尽快地下载安装这些补丁程序，防止类似的利用系统漏洞进行恶意攻击现象的发生。

病毒预报  第三百五十七期（2009.12.21-2009.12.27）

正逢2009年圣诞和元旦两大节日到来，这段时间正是病毒高发期。一些恶意木马程序、病毒会利用网上购物网站、网络游戏、手机、电子邮件或即时通信工具（QQ、MSN）等途径借机传播感染广大计算机用户的操作系统，给用户带来一定的经济损失和不必要的麻烦。     国家计算机病毒应急处理中心提醒广大计算机用户，这期间可能出现如下的网络陷阱和木马病毒等情况：     1、 谨防“钓鱼网站”。     两大节日期间，很多用户会通过互联网络选购商品，一些不法分子正好利用这一网络购物的高峰期，采用欺骗性的电子邮件和伪造的Web页面来盗取上网用户的重要个人信息(如私密的数据文件、银行信用的卡号和密码、网游帐号和密码等)，从而给用户带来经济上的损失。     2、 注意带有病毒附件的电子邮件。     很多恶意木马程序、病毒在节日期间往往都会发送一些带有病毒附件的电子邮件，这些邮件大多是采用与祝福有关的主题，如”圣诞快乐!”、”送你一份新年礼物”等这些敏感信息，具有一定的迷惑性。一旦计算机用被诱骗打开这些电子邮件，操作系统就会受到病毒的入侵感染。     3、 小心病毒利用及时通信工具（QQ、MSN等）进行传播。     两大节日期间，大多数病毒会利用QQ、MSN等即时通讯工具进行传播扩散。这些病毒很可能会以新春祝福的名义，通过即时通讯工具发送带有病毒的链接地址、图片或文件等。一旦计算机用户点击这些链接地址或文件，就会遭到病毒的入侵感染。 专家提醒：     在圣诞和元旦两大节日期间，国家计算机病毒应急处理中心建议各重点企、事业单位和个人用户采取以下措施来抵御病毒的入侵。    （一）1、及时下载安装操作系统的漏洞补丁程序，同时也要关注热门应用软件的漏洞更新，应尽可能及时升级软件到最新版本。    （二）不要随意点击或运行通过QQ、MSN、电子邮件发来的陌生链接地址或文件，即便是好友发来的新春祝福电子贺卡、图片或链接也要在确认后再打开。    （三）节日期间上网购物时，一定要选择那些可靠的大型购物网站，以免误入假冒的“钓鱼网站”。另外，不要轻信别人通过网络论坛发布的中奖、抽奖等信息，更不要在网上轻易透露自己的手机号、住宅电话、身份证号码等私人信息，以免上当受骗。    （四）提高自己私密性数据的安全，例如银行账号密码，信箱密码，IM通讯密码等，最好经常更换或是设置比较复杂的帐户密码。    （五）计算机用户在使用移动硬盘、U盘等介质时最好先杀毒。同时，最好禁用系统的自动播放功能，防止病毒利用U盘、移动硬盘、MP3等移动存储设备入侵感染计算机操作系统。

病毒预报  第三百六十期（2009.12.28-2010.1.3）

国家计算机病毒应急处理中心通过对互联网的监测发现，近期并没有传播范围广破坏力强的病毒出现，但提醒广大计算机用户不可掉以轻心，计算机用户特别要对木马程序、利用U盘或是MSN等聊天工具进行传播的病毒提高警惕。尤其是各单位元旦假期结束后，计算机将会被大量使用，应及时升级系统补丁，做好杀毒软件升级工作，避免感染病毒并在单位局域网中扩散。     另外，元旦假期间也是网上购物的高峰期，各种各样的网络钓鱼网站此时开始蠢蠢欲动，通过各种论坛、贴吧以及QQ等即时聊天工具发送虚假打折、赠送信息，诱惑电脑用户点击，用户一旦点击该链接就可能感染病毒，使得网上银行帐号、密码随时面临被盗的危险。    元旦假期过后，各单位要对计算机系统进行全面的检查，及时升级系统补丁，做好病毒的预防工作。同时，要建立网络安全及病毒事件出现后的应急机制和处置方案，有专人负责事件处理工作。确保本单位在网络安全及病毒事件发生时能作好及时有效的进行处理，防止病毒感染，遏制病毒扩散，最大程度降低病毒发作带来的损失。    专家提醒：     我们建议广大计算机用户在收取邮件、贺卡或通过MSN、OICQ等软件聊天时，按照以下几点正确安全地使用：    （一）计算机用户在收取电子邮件同时，开启杀毒软的“实时监控”功能；    （二）计算机用户了解一些病毒的基本特征，不明的电子邮件附件不要随意打开，防止遭受病毒的感染。    （三）计算机用户利用MSN、OICQ等软件进行聊天的过程中，对发来的文件（网页地址链接、图片等）谨慎处理，不要随意接受陌生人发来的文件。

病毒预报  第三百六十一期（2010.1.4-2010.1.10）

国家计算机病毒应急处理中心通过对互联网的监测发现，近期出现一种新型恶意木马程序（Trojan_Pidief.H），它会利用前不久Adobe Reader和Acrobat存在的“零日”漏洞进行传播。一旦安装在计算机系统中的软件存该漏洞，木马程序就会入侵破坏计算机系统。     木马程序运行后，会将其自身复制到受感染操作系统的临时文件夹（temp）目录中并重命名其文件（文件名：AdobeUpdate.exe），使得计算机用户无法正确识别发现该恶意程序文件。恶意攻击者事先自己会构造一些恶意PDF文档，如果计算机用户打开这些PDF文档，那么操作系统就会受到恶意木马程序的入侵攻击，最终导致计算机系统沦为恶意攻击者远程控制的“肉鸡”。    另外，该木马还会通过以邮件附件的形式进行攻击传播，附件中包含特殊脚本代码的PDF文件。一旦计算机用户被诱骗点击打开该邮件的附件，操作系统就会受到入侵感染。    专家提醒：     针对该恶意木马程序，国家计算机病毒应急处理中心建议广大计算机用户采取如下防范措施：    （一）针对已经感染该木马程序的计算机用户，我们建议立即升级系统中的防病毒软件，进行全面杀毒    （二）针对未感染该木马程序的计算机用户，我们建议打开Acrobatreader，选择菜单“编辑”->“首选项”，去掉“启用AcrobatJavascript(J)”前的勾，然后点确定。

病毒预报  第三百六十二期（2010.1.11-2010.1.17）

    国家计算机病毒应急处理中心通过对互联网的监测发现，近期Web论坛程序应用软件Discuz!7.2版本存在高危漏洞，该漏洞可导致恶意攻击者直接远程获取Web站点中的服务器，同时以一种web形式来控制服务器。目前使用Discuz!7.2版本的Web站点比较多，是一款非常流行的Web论坛程序。     该漏洞存在于Discuz!软件中一个消息调用函数中执行参数未进行初始化设置，可以任意提交，从而可以任意执行函数命令。恶意攻击者会利用该漏洞控制某个使用Discuz!软件的Web论坛服务器，对其消息调用函数中的参数进行恶意初始化设置，一旦计算机用户浏览点击该Web论坛网页，在操作系统后台就会任意执行该特制的函数命令，可能最终导致系统无法正常运行，甚至崩溃。     注：Discuz!，即论坛软件系统，也称电子公告板(BBS)系统。它是一套通用的社区论坛软件系统，用户可以在不需要任何编程的基础上，通过简单的设置和安装，在互联网上搭建起具备完善功能、很强负载能力和可高度定制的论坛服务。    专家提醒：     目前，Discuz!官方已发布更新补丁，请使用该软件的论坛管理人员到其官方网站下载更新，地http://www.discuz.net/thread-1537673-1-1.html。