病毒周报(080929至081005)

动物家园计算机安全咨询中心（www.kingzoo.com）反病毒斗士报牵手广州市计算机信息网络安全协会（www.cinsa.cn）发布：

本周重点关注病毒：

“盘古僵尸18432”（Win32.Hack.Rbot.fr.18432） 威胁级别：★★

这个黑客木马的主要危害是能帮助黑客远程控制用户的电脑。它进入系统后就会立即释放自己的子文件到系统盘%WINDOWS%目录下，并将其写入注册表启动项，实现开机自启动。比较有意思的是，其中主文件名为Hacker.com.cn.exe ，这是灰鸽子木马常用的文件名，但仅凭一个文件名称，我们还无法判断该木马与灰鸽子之间是否存在联系。
当开始运行后，该毒就在后台连接病毒作者指定的地址qq3***133.3322.org ，向黑客报告入侵成功，等待黑客的下一步指示。由于该毒已获取了用户系统的操作权限，黑客将可以执行几乎所有其想要的操作。

“传奇武装盗号器69632”（Win32.Troj.OnlineGames.cq.69632） 威胁级别：★★

被此毒入侵的电脑，用户可在%WINDOWS%\system32\dllcache\目录下发现一个cdaudio.sys文件，看上去像个cd音频驱动文件，其实这个是病毒经过伪装的驱动文件。是病毒第一次运行时，临时释放的用来恢复SSDT表、对抗杀毒软件的。
如果用户重新启动电脑，病毒会删除掉整个%WINDOWS%\LastGood文件夹，然后将该驱动更名为msIffei.sys，释放到到%WINDOWS%\system32\Drivers\目录下，再次恢复SSDT表。
同时，该毒将位于%WINDOWS%\system32\目录下的的主文件kub12.exe添加到注册表启动项，实现开机自运行。成功启动后，，检查当前进程名，如果找《传奇》的进程找到就远程注入，加载同一目录下的kub12.dl文件，读取游戏内存中的帐号和密码信息。
当盗取成功之后，病毒自动将赃物发到 game.Wh****0314.com/quake/这个由病毒作者指定的邮箱，令用户遭受虚拟财产的损失。同时，由于它还原SSDT表，破坏了安全软件的正常运行，这就为其它病毒的入侵提供了便利。

动物家园计算机安全咨询中心反病毒工程师建议：

1、从其他网站下载的软件或者文件，打开前一定要注意检查下是否带有病毒。

2、别轻易打开陌生人邮件及邮件附件、连接等。

3、用户应该及时下载微软公布的最新补丁，来避免病毒利用漏洞袭击用户的电脑。

4、尽量把系统帐号密码设置强壮点，勿用空密码或者过于简单。

5、发现异常情况，请立即更新你的反病毒软件进行全盘查杀或者登陆bbs.kingzoo.com(安全咨询中心)咨询本文出自 “木马屠夫” 博客，请务必保留此出处http://kingzoo.blog.51cto.com/246280/102900