安天实验室7月18日病毒预警

安天实验室7月18日病毒预警
出处：安天实验室 时间：2008年7月18日
  
一、“AV终结者ww”（Trojan.Win32.KillAV.ww） 威胁级别：★★★★
　　该病毒为“AV终结者”的变种，病毒运行后，在%System32%下创建主文件名为随机6位字母的jfgdaz.exe，将%System32%\drivers\目录下的beep.sys替换为同名的病毒文件,并同一目录下衍生另一个主文件名为随机6位字母的驱动文件ababop.sys，在%Temp%下衍生_tmp.bat，由病毒服务加载后便删除此文件；新增注册表项，创建两个服务名都为随机字母的病毒服务，映像劫持多个系统进程、多款安全软件进程，以降低系统的安全性；连接网络，下载病毒列表文件css.txt，然后对照css.txt列表内容来下载大量病毒文件并在本机运行，经分析大多数病毒文件为网络游戏盗号木马；该病毒在实现完自身代码后，便会结束自身进程，删除自身。

二、“偷盗者变种appy”（Trojan-PSW.Win32.OnLineGames.appy） 威胁级别：★★★
    该病毒为QQ华夏2盗号木马，病毒运行之后获取系统目录,在%System32%目录下释放病毒文件：vlhxaklo.sys、jkhxaklo.dll、qbhxaklo.sys，并将自身复制到此目录下命名为：dehxaklo.exe，调用API函数SetFileAttributesA修改病毒文件属性，将文件修改日期修改为2004-08-08并将属性修改为隐藏，使用户无法轻易发现病毒文件，新增注册表项，创建CLSID值，添加到HOOK项启动，将病毒DLL注册为BHO浏览器辅助对象，并将jkhxaklo.dll病毒文件注入到Explorer.exe进程中，遍历进程查找hx2game.exe进程名，如找到则调用API函数TerminateProcess将游戏进程结束，目的使用户再次登陆时以便记录账号及密码，获取临时目录释放BAT批处理文件，等待病毒完全加载执行完毕后删除病毒自身。

    病毒jkhxaklo.dll文件的行为：监视QQLogin.exe登陆窗口一但发现将密码用户名截取后，通过以URL方式发送到作者指定的地址中。

安天反病毒工程师建议
    1.最好安装安天防线，防范日益增多的病毒。用户在安装反病毒软件之后，应将病毒监控功能打开、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。
    2.安天反病毒应急中心及时进行了病毒库更新，升级安天防线到2008年7月18日的病毒库即可查杀以上病毒；如果尚未安装安天防线，请点击此处免费下载最新版安天防线来防止病毒入侵。