安天实验室7月28日病毒预警

安天实验室7月28日病毒预警
出处：安天实验室 时间：2008年7月28日
  
一、“U盘寄生虫doc”（ Worm.Win32.AutoRun.doc） 威胁级别：★★★★
    该病毒属蠕虫类， 判断自己是否是在系统盘下的MSDOS.bat，如果是的话会将系统盘目录打开，创建目录%Windir%\Tasks，将自身复制到该目录下，判断“%Windir%\Tasks”目录下是否存在0x01xx8p.exe文件，如存在则将其删除，判断当前进程是否存在“avp.exe”，如找到则将系统时间修改为2004年1月1日，复制自身到%HomeDrive%\spoolsv.exe，%Windir%\Tasks\spoolsv.ext，%Windir%\Tasks\SysFile.brk，并删除自身文件。感染explorer.exe，先在%Windir%\tasks\释放被感染的explorer.ext然后再保存到%Windir%\explorer.exe，将要感染的病毒代码赋值到缓存，将被感染文件的最后一个节改名为.WYCao，注入被感染代码和自身病毒体，感染成功后替换原文件，遍历进程判断是否存在如下进程，avp.exe， kvsrvxp.exe， kissvc.exe，如果存在的话则强制结束.感染xml/cgi/jsp/php/aspx/asp/shtml/shtm/html/htm文件，删除磁盘现有的所有.gho文件。感染系统目录以外的scr/com/cmd/bat/exe.文件，遍历固定磁盘和可移动磁盘，在各个分区根目录下创建隐藏的系统属性文件autorun.inf和MSDOS.BAT。利用autorun.inf文件特性，使用户双击盘符就会自动运行病毒，隐藏开启IExplore.exe进程连接网络下载大量病毒文件，经分析下载的大量病毒文件多为盗号木马，使用户的网络虚拟财产遭受损失。

二、“盗号木马zfe”（ Trojan-PSW.Win32.OnLineGames.zfe） 威胁级别：★★★
    该病毒为武林外传游戏盗号木马，病毒运行后复制自身到%Windir%目录下，重命名为bincdwsa.exe，添加注册表项，以达到随机启动的目的，并衍生病毒DLL文件到系统目录%system32%下；重命名为bincdwsa.dll；并将病毒文件bincdwsa.dll插入到Explorer.exe系统进程；病毒运行之后删除自身，遍历查找武林外传游戏ElementClient.exe进程，通过截获用户的键盘和鼠标消息获取“武林外传”的账号和密码，并读取该进程目录下的userdata\currentserver.ini文件，获取用户所在游戏服务器的相关信息，通过URL发送到木马种植者指定的接收网址，造成用户的虚拟财产丢失。


安天反病毒工程师建议

    1.最好安装安天防线，防范日益增多的病毒。用户在安装反病毒软件之后，应将病毒监控功能打开、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。
    2.安天反病毒应急中心及时进行了病毒库更新，升级安天防线到2008年7月28日的病毒库即可查杀以上病毒；如未安装安天防线请点击此处免费下载最新版安天防线来防止病毒入侵。