安天实验室8月6日病毒预警

安天实验室8月6日病毒预警
出处：安天实验室 时间：2008年8月6日
  
一、“杜其斯yko”（Trojan-Downloader.Win32.Agent.yko） 威胁级别：★★★★
    该病毒为刷流量病毒，病毒运行后加载动态链接库urlmon.dll，获取%Temp%临时文件夹目录，利用URLDownloadToFile函数从网上读取TXT列表代码将病毒文件代码保存到临时文件夹下，重命名为：TBHAILYFXYV.zbc（随机病毒名），在%system32%\oobe目录下利用命令行方式创建一个windows下删不掉的文件夹命名为：“bak..”，将%Temp%临时文件夹TBHAILYFXYV.zbc文件，利用命令行方式拷贝到%system32%\oobe\bak.目录下，命名为：Outputbat.txt，作为作为代码的备份，遍历%Temp%临时文件夹查找TBHAILYFXYV.zbc（随机病毒名）， 将文件时间值转换成DOS日期和时间值，并在临时目录下创建一个后缀以EXE同名的文件，获取MZP头以命令行方式将病毒打包成自解压文件并设置密码为：“logved*log;7^5#;tvn”，以达到杀毒软件无法解压文件而不能查杀该病毒文件的目的，在DOS下使用命令行解压文件install.exe，并以命令行方式启动该文件，在%system32%\oobe\目录下释放unkgknroni.dll并将其注册为BHO浏览器辅助对象，并创建一个名为5046（4位随机数字）文件夹，释放一个病毒文件svchost.exe到该目录下，，创建该病毒进程，该文件用来定时隐藏打开的大量网页地址，添加注册表启动项，穿过windows自带防火墙，执行完毕后将%Temp%临时文件夹下TBHAILYFXYV.zbc、install.exe文件删除，最后创建$$30689.bat批处理文件删除病毒原文件。

二、“偷取者adwl”（Trojan-PSW.Win32.OnLineGames.adwl） 威胁级别：★★★
    该病毒为武林外传游戏盗号木马，病毒运行后复制自身到%Windir%目录下，重命名为bincdwsa.exe，添加注册表项，以达到随机启动的目的，并衍生病毒DLL文件到系统目录%system32%下；重命名为bincdwsa.dll；并将病毒文件bincdwsa.dll插入到Explorer.exe系统进程；病毒运行之后删除自身，遍历查找武林外传游戏ElementClient.exe进程，通过截获用户的键盘和鼠标消息获取“武林外传”的账号和密码，并读取该进程目录下的userdata\currentserver.ini文件,获取用户所在游戏服务器的相关信息，通过URL发送到木马种植者指定的接收网址，造成用户的虚拟财产丢失。

安天反病毒工程师建议
    1.最好安装安天防线防范日益增多的病毒。用户在安装反病毒软件之后，应将病毒监控功能打开、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。
    2.安天反病毒应急中心及时进行了病毒库更新，升级安天防线到2008年8月6日的病毒库即可查杀以上病毒；如未安装安天防线请点击此处免费下载最新版安天防线来防止病毒入侵。