病毒周报(080922至080928)

动物家园计算机安全咨询中心（www.kingzoo.com）反病毒斗士报牵手广州市计算机信息网络安全协会（www.cinsa.cn）发布：

本周重点关注病毒：

“FTP傀儡34816”（Win32.TrojDownloader.Mnless.34816） 威胁级别：★★

这个病毒能够利用捆绑其它文件的方式进行传播。该毒进入电脑后，将自己的文件setupapi.dll释放到IEXPLORER目录下。接着检查自己的dll文件是否被IEXPLORER.EXE、OPERA.EXE、FIREFOX.EXE等浏览器的进程加载，若不是，便退出程序，以载入指定动态链接库的方式加载自己。
无论采取哪种加载方式，一旦得以运行。此毒便检查注册表，查看用户是否安装有FlashFXP、VanDyke SecureFX、Ipswitch WS_FTP、LeapFTP等工具。
如果发现用户有安装以上FTP工具，此毒则调用这些工具去病毒作者指定的远程地址http://66.1*9.2*1.1*8/ftpg/ftp.php下载一份FTP列表，然后根据其中的地址下载更多的其它病毒。

“蓝屏下载器114176”（Win32.TrojDownloader.Small.114176） 威胁级别：★★

此毒的下载行为十分“光明正大”，它通过伪造蓝屏事件的方法，欺骗用户下载一个所谓的安全软件。而该“安全软件”其实是个商业广告木马程序，能长期驻守用户系统，收集用户的上网习惯。
它进入电脑后，首先会判断当前电脑中的输入法，它仅对安装了指定的八种输入法的电脑起作用，这八种输入法在国内很罕见。
如果确认了目标，该毒便修改注册表项，修改系统的安全级别为最低，并替换桌面的底色以及图片，去掉了桌面设置中可以设置图片与屏保的选项，让用户无法自己修复桌面和屏保。
最后，它释放伪造蓝屏的屏保，要是用户上当允许下载，它就会下载木马到本地Temp目录运行。
此外，该毒还会读取用户的上网记录，如果在其中发现病毒作者指定的一些网址，就会将这些信息发送到远程地址，这是一种信息收集方式。

“伪装卡巴下载器466944”（Win32.Troj.XSey.a.466944） 威胁级别：★★

该毒的运行过程看上去比较复杂，对注册表有很多修改。它进入用户的电脑系统后，就将自己的文件以随机名称的方式释放到输入法文件的目录%WINDOWS%\IME\下，并通过一系列的注册表修改，让自己与微软拼音输入法的进程一起运行，达到开机自启动之目的。
运行起来后，该毒连接到病毒作者指定的远程地址http://zz.a***av.com/ ，下载一个名称为avp.exe的木马文件，存放在%WINDOWS%目录中。该文件与杀毒软件卡巴斯基的进程名一样，因此具有一定的迷惑性。
不过，也正因为如此，如果没有安装卡巴的用户在以上目录发现了此文件，那就说明电脑可能遭受了攻击。

动物家园计算机安全咨询中心反病毒工程师建议：

1、从其他网站下载的软件或者文件，打开前一定要注意检查下是否带有病毒。

2、别轻易打开陌生人邮件及邮件附件、连接等。

3、用户应该及时下载微软公布的最新补丁，来避免病毒利用漏洞袭击用户的电脑。

4、尽量把系统帐号密码设置强壮点，勿用空密码或者过于简单。

5、发现异常情况，请立即更新你的反病毒软件进行全盘查杀或者登陆bbs.kingzoo.com(安全咨询中心)咨询本文出自 “木马屠夫” 博客，请务必保留此出处http://kingzoo.blog.51cto.com/246280/100969