安天实验室7月16日病毒预警

安天实验室7月16日病毒预警
出处：安天实验室 时间：2008年7月16日
  
一、“木马下载者xwr”（Trojan-Downloader.Win32.Small.xwr） 威胁级别：★★★
    该病毒为木马下载器类，运行之后判断注册表项是否存在JavaView键值，如果存在则将其删除，病毒调用API函数OpenMutexA创建病毒互斥量__DL_CORE4GAEX_MUTEX__，防止病毒多次运行，判断是否有此互斥，如果有则跳过不释放病毒DLL，如果无则继续执行以下步骤，病毒调用API函数GetFileAttributesA，获取目录文件列表是否大于10个，如果大于等于10个则跳过不创建AppPatch目录，如果小于10则创建此目录，创建病毒DLL文件DesktopWin.dll到AppPatch目录下，判断病毒DLL文件字节是否大于34，如果是则跳过不写入病毒代码，如果小于则调用WriteFile将病毒代码写入DLL文件中，新增注册表项，创建CLSID值，添加启动项，在ShellServiceObjectDelayLoad键下添加DesktopWin键值，当系统启动时利用Explorer.exe进程自动加载病毒组件，以命令行方式调用rundll32 "%s",UIMessage，由rundll32.exe创建%Windir%\AppPatch\AclLayer.dll文件，获取系统目录创建BAT批处理文件并加载批处理文件将病毒原文件删除，当加载病毒DLL文件后将会连接网络下载大量病毒文件。

二、“盗窃者变种aprb”（Trojan-PSW.Win32.OnLineGames.aprb） 威胁级别：★★★
    该病毒为盗窃网络游戏“彩虹岛”账号的木马。病毒运行后，复制自身、衍生含有隐藏属性的病毒文件bndfxdh.cfg、bndfxdh.dll、ghjsw.dll、zxdtye.dll到%WinDir%下，其中bndfxdh.dll、ghjsw.dll、zxdtye.dll的修改时间被设置为系统初装日期。添加启动项，以达到当任意用户启动系统时运行该病毒文件。病毒试图通过全局挂钩把bndfxdh.dll注入到所有进程中，通过给当前系统内执行的进程拍快照，然后遍历快照中记录的进程列表，来判断是否存在AVP.exe进程，存在便修改系统时间为2003年，月、日不变，以使卡巴斯基过期失效；如果发现LaTaleClient.exe进程，便结束其进程，当用户再次登陆时，通过读取server.dat来获得用户所在服务器相关信息，通过截获当前用户的键盘和鼠标消息以获取网络游戏“彩虹岛”的账号及密码，发送到病毒作者指定的URL。该病毒在实现完自身代码后，便会结束自身进程，删除自身文件。

安天反病毒工程师建议
    1.最好安装安天防线，防范日益增多的病毒。用户在安装反病毒软件之后，应将病毒监控功能打开、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。
    2.安天反病毒应急中心及时进行了病毒库更新，升级安天防线到2008年7月16日的病毒库即可查杀以上病毒；如果尚未安装安天防线，请点击此处免费下载最新版安天防线来防止病毒入侵。