安天实验室8月18日病毒预警

安天实验室8月18日病毒预警
出处：安天实验室 时间：2008年8月18日
  
一、“琼度btu”（Rootkit.Win32.Agent.btu） 威胁级别：★★★★
    该病毒后门类，病毒运行后获取系统文件夹路径%System32%\drivers\beep.sys，调用LoadLibraryA函数加载SFC.DLL文件。将%System32%\drivers\目录下的beep.sys文件删除，并创建一个同名的文件，以系统原服务加载病毒释放的驱动文件，达到不对注册表操作的目的，即可躲避多款杀软的主动防御，释放驱动文件恢复SSDT使卡巴主动防御失效，等待加载完驱动后将beep.sys驱动文件删除，释放临时文件1923531_res.tmp到%temp%目录下，将文件创建时间修改成2004年然后将文件拷贝到%System32%目录下并重命名为：BITSEx.dll，执行完毕后将临时文件1923531_res.tmp删除，修改添加注册表病毒项，将病毒BITSEx.dll文件注入到svhost.exe进程中，等待病毒执行完以上操作将以命令行方式删除病毒自身，等待接受病毒作者发送的控制指令，受感染用户可能会被操纵进行Ddos攻击、远程控制、发送垃圾邮件、创建本地Tftp、下载病毒文件等行为。

二、“MSN”（Trojan/Win32.OnLineGames.snxy） 威胁级别：★★★
    该病毒为盗取网络游戏《梦幻西游》账号信息木马。病毒运行后删除自身，同时释放病毒文件到%System32%下，设置文件属性为隐藏。修改注册表，注册CLSID值，添加HOOK项。调用LoadLibrary 函数，加载病毒dll，把病毒文件mttwfh.dll注入到explorer.exe中，进行全程挂钩，挂钩类型为WH_GETMESSAGE监控发送到消息队列的消息。同时监控鼠标键盘击键。把截获当前用户的游戏的账号及密码信息，发送到病毒作者指定的URL。该病毒运行后结束自身进程。


安天反病毒工程师建议
    1.最好安装安天防线防范日益增多的病毒。用户在安装反病毒软件之后，应将病毒监控功能打开、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。
    2.安天反病毒应急中心及时进行了病毒库更新，升级安天防线到2008年8月18日的病毒库即可查杀以上病毒；如未安装安天防线请点击此处免费下载最新版安天防线来防止病毒入侵。