安天实验室7月25日病毒预警

安天实验室7月25日病毒预警
出处：安天实验室 时间：2008年7月25日
  
一、“木马下载者gkm”（Trojan-Downloader.Win32.Small.gkm） 威胁级别：★★★★
    该病毒为木马下载者病毒，病毒运行后获取系统文件夹路径，释放驱动文件到%system32%\drivers\目录下，重命名为uuid.sys，等待加载驱动成功后将该驱动文件删除，加载urlmon.dll调用urldownloadtofileaAPI函数，并隐藏创建IExplorer.exe进程写入224字节数据连接网络下载文件，将下载后的文件保存到%Documents and Settings%\当前所在用户\Local Settings\Temp目录下，重命名为：update.exe，并自动运行该病毒文件，衍生病毒DLL文件到%Windir%目录下并重命名为：linkinfo.dll并将其注入到Explorer.exe进程中，创建BAT文件删除自身，生成驱动文件%SystemRoot%\system32\drivers\ IsDrv118.sys (加载后删除)，并调用ZwSetSystemInformation加载驱动，病毒通过检查是否是在VMWare下运行，如果是直接关闭虚拟机，以此来防止自己在虚拟机中被运行，从"%Windir%"目录开始感染所有磁盘中后缀名为"exe"的文件，病毒在感染时，不感染"QQ"、"winnt"和"windows"目录下的程序文件，通过修改卡卡助手的驱动"%system32%\drivers\RsBoot.sys"入口，使该驱动在加载时失败，枚举并尝试向局域网中计算机的隐藏共享文件夹"%s\\IPC$"、"C$"等写入名称为"setup.exe"的病毒源文件，尝试连接时使用"Administrator"作为用户名。

二、“盗号木马zfe”（ Trojan-PSW.Win32.OnLineGames.zfe） 威胁级别：★★★
    该病毒为盗窃网络游戏“传奇世界”账号的木马，病毒运行后，复制病毒文件到系统目录%System32%下，命名为ttNNBNNB1047.exe，并在此目录下衍生病毒文件ttNNBNNB1047.dll；新增注册表项，把ttNNBNNB1047.dll注入到Explorer.exe进程，以达到随机启动的目的；通过截获用户的键盘和鼠标消息获取“传奇世界”的账号和密码，发送给病毒作者指定的URL。

安天反病毒工程师建议
    1.最好安装安天防线，防范日益增多的病毒。用户在安装反病毒软件之后，应将病毒监控功能打开、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。
    2.安天反病毒应急中心及时进行了病毒库更新，升级安天防线到2008年7月25