安天实验室8月29日病毒预警

安天实验室8月29日病毒预警
出处：安天实验室 时间：2008年8月29日
http://www.antiy.com/cn/security/2008/s080829_001.htm

一、“U盘寄生虫enw”（Worm.Win32.AutoRun.enw） 威胁级别：★★★★
    病毒的图标为一个文件夹用来诱骗用户点击运行，病毒运行后释放ASUS.exe、ACER.exe、MuTemp.exe、jxxgmw.exe、jxxgmw.nls到system32文件夹下，其中ASUS.exe、ACER.exe、MuTemp.exe是病毒的副本文件，在病毒运行时同时被运行，实现进程互锁。jxxgmw.exe和jxxgmw.nls是病毒文件的备份；病毒在各磁盘分区创建autorun.inf和病毒文件，用以达到用U盘等移动存储设备传播的目的；病毒运行后释放beep.sys文件，加载此文件，创建系统服务用来恢复系统的ssdt以此来关闭杀毒软件的主动防御；病毒修改、删除注册表项，使隐藏文件无法显示，并使用户无法更改文件夹选项。病毒添加注册表，添加自启动项，添加大量的映像劫持项，用来禁止系统工具如注册表编辑器、杀毒软件和其他安全工具的运行；病毒连接网络更新自身；病毒运行后自删除。

二、“偷取者dzl”（Trojan-GameThief.Win32.OnLineGames.dzl） 威胁级别：★★★
    该病毒运行后复制自身到%System32%下，命名为 severe.exe kmawii.exe kmawii.dll同时在%System32%\drivers下重新命名为qxctrt.exe conime.exe，文件属性全部为隐藏。修改注册表，添加自启动项、添加大量映像劫持项，劫持一些杀毒软件及注册表编辑工具等。使用net stop命令，结束可能存在的杀毒软件服务。在进程中添加进程kmawii.exe severe.exe conime.exe，目地是加载病毒DLL用来监控鼠标击键。修改系统hosts文件中的内容，用来屏蔽杀毒软件厂商的网站。文件属性设置为隐藏，释放病毒文件hx1.bat修改文件创建时间，修改完后删除自身。使用户不易查觉。

安天反病毒工程师建议
    1.最好安装安天防线防范日益增多的病毒。用户在安装反病毒软件之后，应将病毒监控功能打开、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。
    2.安天反病毒应急中心及时进行了病毒库更新，升级安天防线到2008年8月29日的病毒库即可查杀以上病毒；如未安装安天防线请点击此处免费下载最新版安天防线来防止病毒入侵。

[ 本帖最后由 avengert 于 2008-8-29 11:53 编辑 ]