“变异侵染者”在作恶 谨防完美木马者

以下是2008年4月23日的安天实验室在最新捕获的病毒样本中选取的病毒样本所做的日报内容 。有任何建议或意见请即时发送邮件：avengert@antiy.net，我们会尽快予以答复.
        ===========================================================================================================================================

一、“完美木马者”（ Trojan-PSW.Win32.OnLineGames.abcr） 威胁级别：★★★★
     该病毒为盗窃网络游戏“完美世界”账号的木马。病毒运行后，复制自身到%WinDir%下，衍生病毒文件tciocp32.dll到%System32%下；添加启动项，以达到随机启动的目的；病毒试图通过全局挂钩把tciocp32.dll注入到所有进程中，查找“完美世界”的游戏窗口标题名称“zelementclient window”，监视用户操作的键盘和鼠标消息以获取网络游戏“完美世界”的账号及密码，发送到病毒作者指定的URL。其传播主要靠web传播和捆绑式传播。

二、“变异侵染者”（Worm.Win32.AutoRun.dji）  威胁级别：★★★★★
    该病毒属蠕虫类，病毒运行后判断进程列表中是否含有smss.exe，若没有则退出，否则复制自身到%Windir%\tasks目录下，更名为0x01xx8p.exe，复制%System32%下文件sploovs.exe到%Windir%\tasks目录下，更名为SysFile.brk，病毒将衍生文件置于%Windir%\tasks目录下，利用了通过命令行移动到该目录下文件不能在资源管理器中显示的特点；在%System32%\sploovs.exe文件“0”数据前添加病毒代码16143字节（含节对齐后尾部“0”代码），并将该节节名由.rsrc更改为.MYCao；检测进程列表中是否有kvsrvxp.exe、avp.exe、kissvc.exe，若有将其关闭，修改注册表，为zzz.sys创建服务，重新启动后服务注册表项将被删除；下次启动计算机时将有打印服务启动病毒文件并加载该服务；连接网络下载病毒数据文件，后根据病毒数据文件执行相关操作以及下载病毒文件并执行；该病毒还试图感染各类文件、删除.gho文件，加载驱动，但由于病毒自身原因，病毒体代码未能执行。

安天反病毒工程师建议
        1.最好安装安天防线2008防范日益增多的病毒。用户在安装反病毒软件之后，应将病毒监控功能打开、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。
        2.安天反病毒应急中心及时进行了病毒库更新，升级安天防线2008到2008年4月23日的病毒库即可查杀以上病毒；如未安装安天防线2008，可以登录http://www.antiy.com免费下载最新版安天防线来防止病毒入侵。

[ 本帖最后由 avengert 于 2008-4-24 09:16 编辑 ]