病毒周报(071126至071202)

动物家园计算机安全咨询中心（www.kingzoo.com）反病毒斗士报牵手广州市计算机信息网络安全协会（www.cinsa.cn）发布：

本周重点关注病毒：

“海量下载器XO号”（Win32.Troj.DownArpT.xo.135168） 威胁级别：★★

病毒运行后，会在系统盘中生成数量极大的病毒文件群，主要集中在系统盘根目录、%Content.IE5%目录、%windows%目录、%windows%\fonts\目录、%windows%\system32\目录下。其中%windows%\目录下的upxdnd.exe病毒文件很值得注意，因为它的相关信息会被加入注册表启动项，这使得病毒在每次系统重启时都能随之启动。之后，病毒就会立即自删除源文件，使用户无法找到病毒源。
当完成以上步骤，病毒就开始连接http://www.n***23***1.com/这一远程地址，下载并立即运行大量其它病毒文件，占用大量系统资源，造成系统严重瘫痪。需要提及的是，这些下载的病毒文件，其文件名是由1~20的数字加上EXE后缀构成。
在该病毒下载的“帮凶”中，有不少是盗号木马，会盗取各种网络游戏和即时聊天工具的帐号信息。还有个别病毒会下载ARP病毒，当用户中了ARP病毒后，在同一个局域网内的其它计算机都有可能遭受欺骗，造成局域网极其不稳定。
该病毒还会破坏userinit.exe系统文件以及已安装的安全软件。一旦病毒破坏了userinit.exe系统文件，用户在重启系统后，就可能无法正常登录系统，甚至一直停留在登录界面。而当安全软件都被破坏后，用户的系统安全性将大大降低，更多的病毒将乘虚而入，给用户造成更大损失。

“病毒综合体17960”（Win32.Troj.Popwin.am.17960） 威胁级别：★★

病毒运行后，在%windows%\system32\目录下释放出病毒文件26E07E70.EXE、3DEF2E8.DLL以及n1132397173k.exe。同时，它还在各磁盘分区生成AUTO病毒，分别是:auto.exe和autorun.inf病毒辅助文件。只要用户双击打开磁盘，病毒就再次被激活，此后，当用户使用U盘等移动存储器时，病毒便会将其传染。
病毒运行成功后，会将系统日期改为2005年，使部分依赖系统时间的杀软失效，大大降低用户系统的安全性。紧接着，它便悄悄连接远程服务器，下载大量其它病毒和木马到%windows%目录和%system32%目录中。用户如果查看启动项，可发现新增了不少陌生的启动项。而通过任务管理器，可发现有三个病毒程序嵌入到rundll32.exe系统文件中，分别是GUIMon01.dll、MediaDrv01.dll和SQLLink01.dll。它们也都躲在%windows%\system32\目录下。
该病毒会不断弹出hxxp://www.d**a.net/*t/ksc/h**p的窗口。随着窗口的大量弹出，系统最终将陷入瘫痪状态。
需要注意的是，在病毒下载的“帮凶”中，相当部分具有盗号功能，盗取的都是现今比较主流的大型网络游戏和即时通讯软件，如《传奇》、《大话西游2》、《梦幻西游》、《彩虹岛》、《QQ》、《QQ游戏》等。此外，它还具有自删除功能，在完成运行后就会删除源文件，避免用户发现。

安全劫持者23559”（Win32.Troj.AgentT.ge.23559） 威胁级别：★★

病毒成功运行后，会在系统盘中生成六个病毒文件，分别为%Windows%\system32\目录下的verclsids.exe，%ProgramFiles%目录下的meex.exe，%ProgramFiles%\Common Files\Microsoft Shared\目录下的fjmnjay.inf、yedeayu.exe，以及%ProgramFiles%\Common Files\System\目录下的ewwwoxi.exe和fjmnjay.inf。另外，还在每个磁盘分区根目录下面创建以下两个病毒文件：Autorun.infmcqdvnc.exe，其中Autorun.inf文件的内容指向mcqdvnc.exe，当用户双击打开磁盘分区时，病毒就被激活。此后，只要用户在中毒电脑上使用U盘等移动存储器，病毒就会立即将其传染。
之后，病毒开始大量修改注册表。它将自己的相关信息添加到系统启动项，达到随系统自动启动之目的。而为了不让用户发现自己，它会破坏文件夹选项的设定数据，将自己的文件显示模式设为隐藏，并且每次启动后，就创建IExplorer.exe进程并将自己注入其中。
同时，病毒会添加键值，实现对“诺顿”、“Autoruns启动项管理工具”等多种安全软件的映像劫持，如果用户试图使用安全软件，会发现最终被启动的全是病毒。而为了防止用户进入安全模式手动查杀，病毒还会破坏系统安全模式的有关数据。
当完成以上动作后，病毒就会悄悄建立远程连接，从http://www.w****b.com/这一网址读取最新的指令信息，升级并下载其他木马或者病毒，给用户造成更大损失。

“网游搜刮器114688”（Win32.PSWTroj.OnlineGames.114688） 威胁级别：★★

病毒运行后，在%windows%\system32\目录下创建四个病毒文件，分别为：addrdhhelp.cfg、addrdhhelp.dll、mseam.sys、qdshm.dll，其中qdshm.dll是木马本身，mseam.sys用以实现木马的启动和自保护，addrdhhelp.cfg是病毒的配置文件，addrdhhelp.dll则用来实现盗号信息的发送。文件释放完后，病毒就删除源文件，避免用户发现。然后，病毒修改注册表，以便以后能随系统自动启动。
此病毒利用自己的函数替换了系统中原有的函数，伪装成服务提供者，监视用户电脑上的游戏客户端与网游运营商服务器的通信，对其中的数据进行分析，一旦发现网游帐号和密码等信息，便将其记录下来，并建立远程连接，将这些信息发送给木马作者。由于采用这种窃取方式可盗得病毒作者想要的任何数据，因此这个盗号者的作案目标也十分庞大，几乎所有知名网游都会“中招”，需要特别防范。

动物家园计算机安全咨询中心反病毒工程师建议：

1、从其他网站下载的软件或者文件，打开前一定要注意检查下是否带有病毒。

2、别轻易打开陌生人邮件及邮件附件、连接等。

3、用户应该及时下载微软公布的最新补丁，来避免病毒利用漏洞袭击用户的电脑。

4、尽量把系统帐号密码设置强壮点，勿用空密码或者过于简单。

5、发现异常情况，请立即更新你的反病毒软件进行全盘查杀或者登陆bbs.kingzoo.com(安全咨询中心)咨询
此外还需要注意的是，由于会被多个网络服务所加载，除非关闭系统，否则此病毒将始终保持激活状态。本文出自 “木马屠夫” 博客，请务必保留此出处http://kingzoo.blog.51cto.com/246280/52358