安天实验室2008年8月18日-8月24日病毒报告

安 天 实 验 室  中  国  地  区  每  周  病  毒  报  告

2008年8月18日到8月24日
本周第一位：
    Virus.Win32.Virut.n病毒运行后，复制自身到各驱动器根目录下（除系统盘根目录）并衍生配置文件，实现双击盘符运行病毒。在%ProgramFiles%目录和部分附属目录下复制自身并衍生病毒文件；修改注册表，添加启动项，对大量反病毒工具和软件映像劫持，锁定对隐藏文件的显示，使用户无法通过文件夹选项显示隐藏文件；禁用系统防火墙服务、自动更新服务、入侵保护服务、帮助服务；删除注册表中安全模式启动需要加载的驱动文件，使用户无法进入安全模式；开启自动播放功能，感染连接到中毒机器的移动磁盘；该病毒会自动关闭标题栏中含有指定字符的窗口或文件；该病毒主要通过移动磁盘进行传播


重点关注：
Trojan-Spy.Win32.Pophot.bxg该病毒为木马。病毒运行后首先获取病毒体存放路径，路径获取成功后衍生病毒进程文件，调用内存中运行动态链接库的系统进程；创建病毒配置文件，运用系统API函数对配置文件进行逐条写入信息，记录病毒运行及更新后情况；再次利用系统特定API函数对病毒体的系统权限进行提升，然后遍历系统进程查找字符串如发现有卡巴斯基、瑞星卡卡上网助手、江民、360的进程就进行关闭；复制本体到系统目录下，并将复制的本体再次复制重新命名以scr格式存放；衍生动态连接库文件，由病毒的进程进行加载监视以上的反病毒软件行为，模仿Button按钮操作，加载系统Shell相关应用程序接口动态链接库文件，后台开启Iexplorer.exe进程进行连接网络；修改注册表添加病毒启动项；病毒最后在系统根目录下创建批处理文件用以删除病毒本身文件。

专家建议：
        1.在任务管理器中查看是否有陌生以及可疑的进程存在。
        2.安装安天防线反病毒软件。
        3.及时打全系统补丁。
        4.及时关注各种应用软件的漏洞并及时更新到应用软件的最新版本。
        5.在需要输入游戏账号信息时，打开安天防线反病毒软件的实时监控功能。
        6.注意经常更新安天防线反病毒软件的病毒库来阻止被病毒感染。
手动查杀方法：
针对以上病毒，其病毒变种非常之多。其应用技术各不相同所以没有一个固定的手动查杀方法， 只能告诉用户一些基本的杀毒方法,针对微软XP用户：
1.断开网络连接，进行以下操作。
2.在“运行”中输入“msconfig”分别点击“启动”与“服务”标签。
3.查看是否有陌生程序的启动项，有则找到对应位置，使用安天防线反病毒软件查杀或手动删除。
4.打开“文件夹选项”中的查看隐藏文件等选项，这样可以看到隐藏的病毒体。如看不到隐藏文件表明注册表中显示隐藏文件项被修改，解决办法使用安天防线反病毒软件扫描或者手动修改。
5.对于使用移动设备时，请先用右键点击查看，是否有“自动运行”项，如有，在使用前用安天防线反病毒软件扫描。

下周病毒预测：
           从本周的趋势观察，及据安天实验室捕获统计， Rootkit类病毒一跃爬升到排行榜前十名，可以看出该类病毒欲重出江湖，望有关用户做好防护，经常利用有关工具进行系统检查；另外未来一周内代理下载者病毒带领盗号木马会再次席卷病毒排行榜，提醒使用网银用户注意保护个人账号密码等信息。

专家预防建议：
        1.建立良好的安全习惯，不打开可疑邮件和可疑网站。
        2.不要随意接收聊天工具上传送的文件以及打开发过来的网站链接。
        3.使用移动介质时最好使用鼠标右键打开使用，必要时先要进行扫描。
        4.现在有很多利用系统漏洞传播的病毒，所以给系统打全补丁也很关键。
        5.安装专业的防毒软件升级到最新版本，并开启实时监控功能。
        6.为本机管理员帐号设置较为复杂的密码，预防病毒通过密码猜测进行传播，最好是数字与字母组合的密码。
        7.不要从不可靠的渠道下载软件，因为这些软件很可能是带有病毒的。
        8.下载软件后应用使用安天防线反病毒软件进行查杀，然后进行使用。