病毒周报(080106至081012)

[i]动物家园计算机安全咨询中心（www.kingzoo.com）反病毒斗士报牵手广州市计算机信息网络安全协会（www.cinsa.cn）发布：

本周重点关注病毒：[/i]

“游戏账号大杀器123904”（Win32.Hack.Agent.123904） 威胁级别：★★

这个系列的盗号木马，目标游戏非常的多，基本囊括了市面上大多数的游戏。
病毒文件会被释放在%WINDOWS%\system32\目录下，文件名采取HB+游戏缩写的构成方式，比如HBWOW.Dll是盗取WOW的木马，盗大话西游的叫HBXY2.Dll，盗梦幻西游的叫HBmhly.Dll，以此类推。
该木马将简单粗暴有效的盗号原则贯彻的非常彻底，对各种游戏采用的盗号手段非常一致，都是采用将自身dll加载到正常游戏中，然后针对具体游戏，拦截内存中指定位置的帐号密码数据。
当成功截获后，赃物会被转化成统一的数据格式，发送到病毒指定的网络地址。
此木马具有还原SSDT表功能，可解除安全软件的防御。

“对抗型下载器407552”（Win32.TrojDownloader.Unknown.407552） 威胁级别：★

此下载木马进入系统后，在执行下载任务前，会先搜索卡巴斯基、瑞星、江民、360安全卫士等多款常见安全产品的进程，如果发现，便尝试利用关闭进程的方式中止它们的正常运行。
当成功解决了“碍手碍脚”的安全软件，该毒就连接病毒作者指定的服务器http://live.g**ike.cn和http://s**t.my**3.com，下载其它木马文件。并锁定IE浏览器的默认首页为病毒作者指定的广告页面。甚至还会修改系统启动画面为病毒作者想要。
因为已经修改了注册表启动项，该毒会在电脑每次启动时自动运行，它主要的两个文件GoSvr.exe和GG.exe被隐藏在%Program Files%\GG\目录下。

“汇编捆绑器74669”（Win32.VirInstaller.AgentT.pm） 威胁级别：★

此病毒是一个由汇编语言编写的被捆绑程序，能够将病毒与rar、rm等格式的非PE文件捆绑到一起，以便在用户下载这些文件时，让病毒能混进电脑。
当它在用户电脑中执行时，就会释放文件并执行。它调用系统函数，载入病毒要使用的dll文件，以及取得另一些运行所需要的函数。一切准备就绪后，就释放病毒到病毒作者指定的目录下运行。
它所捆绑的病毒，大部分是木马下载器或盗号木马。要避免遭遇此类捆绑器的威胁，用户应尽量避免浏览非法的下载网站或视屏网站。

动物家园计算机安全咨询中心反病毒工程师建议：

1、从其他网站下载的软件或者文件，打开前一定要注意检查下是否带有病毒。

2、别轻易打开陌生人邮件及邮件附件、连接等。

3、用户应该及时下载微软公布的最新补丁，来避免病毒利用漏洞袭击用户的电脑。

4、尽量把系统帐号密码设置强壮点，勿用空密码或者过于简单。

5、发现异常情况，请立即更新你的反病毒软件进行全盘查杀或者登陆bbs.kingzoo.com(安全咨询中心)咨询本文出自 “木马屠夫” 博客，请务必保留此出处http://kingzoo.blog.51cto.com/246280/103761