2008年10月27日病毒预警

一、“ecard变种”（Trojan-Spy.Win32.Goldun.bce） 威胁级别：★★★★
     该病毒为ecard病毒变种，病毒运行后添加注册表启动项，衍生病毒文件gzipmod.dll、vbagz.sys到%System32%目录下，该病毒调用系统进程rundll32.exe，并将gzipmod.dll、vbagz.sys以句柄的形式注入其中，添加注册表躲避系统自带防火墙，创建病毒注册表服务，病毒运行之后删除自身文件，创造了互斥体防止病毒多次运行，病毒驱动通过 nt!ObReferenceObjectByName 打开磁盘驱动 DriverDisk，并遍历该驱动创建的所有设备对象，该驱动记录这些设备对象的地址用来隐藏病毒衍生的文件，检测路由器支持的路由协议功能、保护该病毒衍生的文件不被查找、发现，连接网络隐藏打开地址，收集有关的电子邮件信息。

二、“U盘寄生虫”（Worm.Win32.AutoRun.bem） 威胁级别：★★★★★
     该病毒为蠕虫类，病毒运行后复制自身到系统目录，衍生病毒文件，并删除自身。修改注册表，添加启动项，以达到随机启动的目的。添加映像劫持项，劫持众多计算机安全相关软件。感染非系统盘符下的大部分exe文件，感染方式是在文件尾部加一个.ani节，将病毒信息写入其中，入口点改为病毒运行入口点等。连接网络下载病毒文件并回传收集到的计算机MAC、系统版本等信息。

安天反病毒工程师建议
    1.最好安装安天防线防范日益增多的病毒。用户在安装反病毒件之后，应将病毒监控功能打开、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。
    2.安天反病毒应急中心及时进行了病毒库更新，升级安天防线到2008年10月27日的病毒库即可查杀以上病毒

[ 本帖最后由 开开 于 2008-10-28 13:42 编辑 ]

一、“辅佐bhp”（Trojan-Dropper.Win32.Small.bhp） 威胁级别：★★★★
     该病毒属木马类程序，病毒运行后，复制自身到%System32%目录下，更名为sechost.exe，并在该目录下衍生cifmon.exe、discard.ini、kavshell.sys、ssdt.sys、sechos.texe；修改注册表， 使userinit.exe和sechost.exe一起启动，%System32%\sechost.exe添加到卡巴斯基杀病毒软件的信任区域，加载驱动kavshell.sys 、ssdt.sys窃取计算机密码和个人信息，病毒运行完后删除自身。


二、“盗窃者变种aprb”（Trojan-PSW.Win32.OnLineGames.aprb） 威胁级别：★★★
    该病毒为盗窃网络游戏“彩虹岛”账号的木马。病毒运行后，复制自身、衍生含有隐藏属性的病毒文件bndfxdh.cfg、bndfxdh.dll、ghjsw.dll、zxdtye.dll到%WinDir%下，其中bndfxdh.dll、ghjsw.dll、zxdtye.dll的修改时间被设置为系统初装日期。添加启动项，以达到当任意用户启动系统时运行该病毒文件。病毒试图通过全局挂钩把bndfxdh.dll注入到所有进程中，通过给当前系统内执行的进程拍快照，然后遍历快照中记录的进程列表，来判断是否存在AVP.exe进程，存在便修改系统时间为2003年，月、日不变，以使卡巴斯基过期失效；如果发现LaTaleClient.exe进程，便结束其进程，当用户再次登陆时，通过读取server.dat来获得用户所在服务器相关信息，通过截获当前用户的键盘和鼠标消息以获取网络游戏“彩虹岛”的账号及密码，发送到病毒作者指定的URL。该病毒在实现完自身代码后，便会结束自身进程，删除自身文件。

安天反病毒工程师建议
    1.最好安装安天防线防范日益增多的病毒。用户在安装反病毒件之后，应将病毒监控功能打开、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。
    2.安天反病毒应急中心及时进行了病毒库更新，升级安天防线到2008年10月28日的病毒库即可查杀以上病毒

一、“U盘寄生虫rea”（Worm.Win32.AutoRun.rea） 威胁级别：★★★★★
    该病毒图标伪装成图片诱惑用户点击，病毒运行后，创建互斥量防止病毒多次运行，删除%System32%目录下的mfc71.dll文件，遍历进程查找safeboxTray.exe（360安全软件进程），找到该进程后将其进程强行结束，设置本地时间为2004年，用ShellExecuteA函数调用cacls.exe给everyone 用户组对packet.dll、pthreadVC.dll、wpcap.dll、npf.sys、npptools.dll、wanpacket.dll、acpidisk.sys 的完全控制，释放病毒驱动文件beep.sys到%System32%\Drivers目录下，替换现有的驱动文件，创建驱动设置名：“\\.\RESSDTDOT”利用系统beep服务加载病毒文件，恢复SSDT躲避卡巴主动提示，遍历进程查找多款安全软件进程找到则将其进程强行结束，并停止多款安全软件服务，将%System32%目录下的wuauct.exe拷贝到%HomeDrive%下重命名：temp.temp，拷贝病毒自身到%System32%目录下与%System32%Dllcache目录下，调用iexplore.exe创建进程，调用FindWindows函数查找类名为"IEFrame" 窗口，申请内存空间，将病毒代码写入IEXPLORE.EXE连接网路执行下载，拷贝自身到%HomeDrive%下命名为：MSCL.PLF，在每个驱动器下创建AUTORUN.INF达到双击启动病毒目的，获取光标位置、获取窗口句柄、获取当前窗口标签内容，检测当前窗口标题是否存在病毒预设的标题（多款安全软件标题），如发现则向该窗体发送消息将当前窗体关闭，将病毒自身属性设置为隐藏，修改注册表、删除注册表破坏安全模式、添加注册表启动项、劫持多款安全软件进程。


二、“U盘寄生虫qpv”（Worm.Win32.AutoRun.qpv） 威胁级别：★★★★★
    该病毒是蠕虫，病毒的图标为windows自动更新程序，诱骗用户点击运行。病毒运行后，隐藏自身，破坏系统正常SFC功能，更改系统文件操作权限、删除系统文件、并用病毒文件替换正常的系统更新程序。病毒遍历进程列表，搜索并结束对其自身存在构成威胁的进程，隐藏打开Internet Explorer，通过远程写入在IE进程中创建病毒线程。病毒修改注册表启动项，达到开机自启动的目的、添加映像劫持项，使众多安全工具无法启动。病毒在各磁盘分区创建autorun.inf文件和病毒副本文件way.pif文件，达到自启动和U盘传播的目的。病毒检测当前鼠标位置的窗口是否含有对病毒有危险的信息，当出现病毒认为威胁它存在的信息时关闭此窗口。病毒连接网络更新自身，下载并运行大量其他病毒。

安天反病毒工程师建议
    1.最好安装安天防线防范日益增多的病毒。用户在安装反病毒件之后，应将病毒监控功能打开、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。
    2.安天反病毒应急中心及时进行了病毒库更新，升级安天防线到2008年10月30日的病毒库即可查杀以上病毒

一、“灰鸽子”（Backdoor.Win32.Hupigon.afjk） 威胁级别：★★★★
    该病毒为远程控制后门类，病毒图标伪装成安装包图标诱导用户点击，病毒运行后，创建互斥量“hacker.com.cn_mutex”，防止多次运行，拷贝自身到%WINdir%\目录下，重命名：“qq”，并设置属性为隐藏，创建病毒服务、以服务方式启动病毒，调用ChangeServiceConfig2函数改变病毒文件描述，等待运行完毕后释放批处理将自身删除，该病毒运行后会连接网络通过域名转向连接到指定的IP地址，等待控制端发送控制指令，受感染的用户计算机会被完全控制。


二、“偷取者soyg”（Trojan-GameThief.Win32.OnLineGames.soyg） 威胁级别：★★★
    该病毒为盗取网络游戏口袋西游账号信息木马。该病毒运行后删除自身，释放病毒文件%Windir%\Fonts\aekdaolf.dll，属性设置为隐藏，修改aekdaolf.dll文件的创建时间。并将该DLL文件注入到explorer.exe中，在%Temp%下生成DFD1216078.bat文件对病毒文件进行删除。

安天反病毒工程师建议
    1.最好安装安天防线防范日益增多的病毒。用户在安装反病毒件之后，应将病毒监控功能打开、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。
    2.安天反病毒应急中心及时进行了病毒库更新，升级安天防线到2008年10月31日的病毒库即可查杀以上病毒

一、“网络窃贼”（Trojan-GameThief.Win32.OnLineGames.thxi） 威胁级别：★★★
    该病毒为盗取网络游戏梦幻西游online账号信息木马。该病毒运行后调用GetSystemDirectoryA这个函数来获取系统目录。该病毒运行后删除自身，衍生病毒文件到%System32%与%System32%\drivers下。修改注册表，注册DLL，添加开机自启动项，注册服务。把病毒文件注入到除smss.exe、csrss.exe、winlogon.exe以外的所有进程。创建名为system的进程，病毒运行后调用CreateMutexA函数在后台创建一个名为"HBInjectMutex"的互斥体，防止病毒自身运行多个实例。病毒DLL的作用是截获用户账号、密保等信息，回传到病毒作者指定的地址。


二、“偷取者”（Trojan-GameThief.Win32.OnLineGames.tkyl） 威胁级别：★★★
    该病毒属于盗号木马，病毒运行后，首先在%WinDir%\MayaBaby目录下创建MayaBabyDll.dat、rizxw.dat；停止Beep服务，复制rizxw.dat替换原系统文件beep.sys，然后执行Beep服务，这样系统重新启动时，原系统服务Beep便会加载被替换了的驱动文件rizxw.dat；恢复SSDT， SSDT一旦被恢复到原始状态，可以使大多数杀软（如卡巴、瑞星、Tiny等）监控全部失效；随后复制自身到%WinDir%\MayaBaby下，新增注册表项，创建病毒服务network services，以达到随机启动病毒文件的目的；通过给当前系统执行的进程拍快照，来判断是否存在AVP.exe、ravmon.exe、ravtask.exe、ravstub.exe、ravmond.exe、rfwsrv.exe、rfwstub.exe、rfwmain.exe、360tray.exe、360safe.exe进程，如存在便终止以上进程；在%System32%下生成me.bat，用于删除原病毒文件和自身。

安天反病毒工程师建议
    1.最好安装安天防线防范日益增多的病毒。用户在安装反病毒件之后，应将病毒监控功能打开、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。
    2.安天反病毒应急中心及时进行了病毒库更新，升级安天防线到2008年11月3日的病毒库即可查杀以上病毒

一、“游戏窃贼tqwb”（Trojan-GameThief.Win32.OnLineGames.tqwb）威胁级别：★★★
    该病毒为华夏2游戏盗号木马，病毒运行后，释放病毒文件“19b5406.sys、2EF0D734.cfg、2EF0D734.dll”（随机病毒名）到%System32%目录下，创建病毒服务，添加病毒HOOK项，注册病毒CLSID值，查找%System32%目录下的VErCLSiD.exe文件，如找到则将其删除，调用函数将病毒DLL文件加载到内存中，试图注入到所有进程中，病毒运行完毕后删除自身，病毒驱动文件主要行为：恢复SSDT使卡巴主动防御失效，DLL文件主要行为：调用函数创建、开启病毒服务，利用全局钩子获取键盘输入信息截取游戏账户信息，以URL方式发送到指定的地址中。


二、“疯狂下载者”（Trojan-Downloader.Win32.Small.ejw） 威胁级别：★★★
    该病毒属木马，病毒伪装微软版本信息，用以迷惑用户。病毒运行后衍生病毒文件d26bf5b8.dll、d26bf5b8.exe 、d26bf5b8t.exe到系统目录%system32%下。连接网络下载病毒文件，修改注册表，创建服务，并以服务的方式达到随机启动的目的，删除系统正常服务。尝试结束卡巴斯基进程。

安天反病毒工程师建议
    1.最好安装安天防线防范日益增多的病毒。用户在安装反病毒件之后，应将病毒监控功能打开、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。
    2.安天反病毒应急中心及时进行了病毒库更新，升级安天防线到2008年11月4日的病毒库即可查杀以上病毒

一、“下载突击兵”（Trojan-Downloader.Win32.Tiny.akm） 威胁级别：★★★
    病毒运行后自动在后台加载，到指定站点下载病毒文件。下载后的病毒文件自动运行并释放文件。下载病毒已木马居多，可以盗取多种游戏的帐号和密码，同时利用间谍木马监视用户的重要信息。其传播主要是通过捆绑和网络的网站挂马进行传播，建议用户在浏览网站尽量浏览可信度高的网站，下载文件时尽量到知名网站下载，下载后的文件用反病毒软件进行扫描。


二、“偷取者med”（Trojan-PSW.Win32.OnLineGames.med） 威胁级别：★★★
    该病毒为木马类，病毒运行后复制自身到系统目录，衍生病毒文件，并删除自身。修改注册表，添加启动项，以达到随机启动的目的。禁用Windows自动更新与防火墙功能，以降低系统安全性。以ratbqpi.dll插入到天龙八部进程中进行游戏信息获取并回传。


安天反病毒工程师建议
    1.最好安装安天防线防范日益增多的病毒。用户在安装反病毒件之后，应将病毒监控功能打开、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。
    2.安天反病毒应急中心及时进行了病毒库更新，升级安天防线到2008年11月5日的病毒库即可查杀以上病毒

一、“下载控制者”（Backdoor.Win32.Small.duj） 威胁级别：★★★★
    该病毒为下载者木马类，病毒运行后调用API获取系统文件夹路径，创建_temp.bat到%Windir%\Temp目录下，并执行批处理代码，目的将%Windir%\目录下与%system32%\dllcache目录下的explorer.exe文件授予当前用户完全控制权限，调用ZwQuerySystemInformation函数枚举进程模块，判断是否存在SunwardSysMon.sys（驱动防火墙文件），释放病毒驱动文件hook.sys到%Windir%\Temp目录下，创建病毒服务，等待加载完毕后将病毒驱动文件删除，并衍生病毒文件到系统目录%Windir%\Temp下；重命名为weilai.mp3；该文件伪装成MP3格式文件隐藏运行，连接网络下载大量恶意文件，下载的病毒文件多数为盗号木马，受感染用户还有可能会被操纵进行Ddos攻击、远程控制、发送垃圾邮件、创建本地Tftp、下载病毒文件等行为。


二、“灰鸽子变种diq”（Trojan.Win32.Agent.diq） 威胁级别：★★★★★
   该病毒为“灰鸽子”后门病毒变种。病毒将释放DLL文件inudhya.dll到当前目录下，并将该病毒DLL文件注入到除少数几个无法注入（比如“smss.exe”）以外的所有进程，然后挂钩某些API，从而隐藏病毒文件，使用户无法使用常规的方式发现病毒，病毒运行后，创建注册表病毒服务，病毒使用了多种方式隐藏，普通用户难以发现并杀除，中了该病毒的用户会被远程控制，盗取个人私密资料信息等。


安天反病毒工程师建议
    1.最好安装安天防线防范日益增多的病毒。用户在安装反病毒件之后，应将病毒监控功能打开、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。
    2.安天反病毒应急中心及时进行了病毒库更新，升级安天防线到2008年11月6日的病毒库即可查杀以上病毒

一、“疯狂下载者”（Trojan-Downloader.Win32.Crazy.ae） 威胁级别：★★★★
    该病毒是一个下载者类型病毒，病毒体通过移动设备传播。病毒体得到运行后，会连接网络指定地址，按照一个预先设定好的地址列表来下载病毒体到本机运行，下载的病毒包括蠕虫、木马、后门类型的病毒。病毒在每一个分区包括移动设备根目录下衍生autorun.inf、ntldr.exe文件，来达到当用户双击磁盘分区时，激活病毒体的目的。下载大量的盗号程序，包括盗取QQ，各类网络游戏的木马病毒。病毒体下载的大量病毒所造成的链式反应，最终会导致系统变慢，最后发生蓝屏重启现象。如用户发现出现上述症状，请及时使用安全软件扫描全盘查杀病毒。


二、“qq大盗”（ Trojan-PSW.Win32.QQPass.avg） 威胁级别：★★★★
    该病毒属盗QQ账号木马。病毒运行后复制自身到%Program Files%\InternetExplorer\PLUGINS\下，重命名为WinSys8k.Sys与Sys_Win7s.Jmp，使其属性设置为隐藏，使用户不易发现，添加HOOK启动项，添加注册表启动项，以达到开机自启动目的，关闭自动更新，建消息钩子，使多个进程加载释放的病毒文件WinSys8k.Sys，查找Tencent_QQBar和Tencent_QQToolBar这两个窗口，获得QQ用户的账号信息并发送到指定邮箱。


安天反病毒工程师建议
    1.最好安装安天防线防范日益增多的病毒。用户在安装反病毒件之后，应将病毒监控功能打开、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。
    2.安天反病毒应急中心及时进行了病毒库更新，升级安天防线到2008年11月7日的病毒库即可查杀以上病毒

一、“控制者”（ Backdoor.Win32.Sinowal.aav） 威胁级别：★★★★
    该病毒为后门类病毒，创建互斥量MutexName = "Global\DD8D9E3C36AD47F8937D59F372EFF498"，获取临时文件夹目录%Temp%\ 创建1.tmp、2.tmp到该目录，调用CreateProcessA函数创建该文件进程，加载病毒文件2.tmp到进程中，获取函数地址、序号：ProcNameOrOrdinal = "wep"，完毕后删除2.tmp，利用函数挂钩进程ProcessId = 658，截取消息，并传给HookFunc函数处理，等待3600000.ms退出，创建病毒服务，以服务方式启动病毒，试图连接网络以POST方式发送消息。

二、“U盘寄生虫”（ Worm.Win32.AutoRun.doc） 威胁级别：★★★★
    该病毒为蠕虫类病毒，病毒运行后，判断%HomeDrive%盘下是否存在msdos.bat，如存在则调用函数打开该文件，在%Windir%目录下创建Tasks目录，并查找该目录下的"0x01xx8p.exe"文件将其删除，并传送自身到该文件夹下，休眠5000ms后，遍历进程查找AVP.exe进程，如存在该进程则休眠24000ms后将系统当前时间设置为2004年1月1日，拷贝%System32%目录下的spoolsv.exe到%Windir%\Tasks目录下，重命名为：spoolsv.ext、spoolsv.brk，修改spoolsv.ext资源节rsrc名为WYCao，并写入2600字节病毒数据，修改文件入口点，拷贝%System32%目录下的spoolsv.exe到%System32%\dllcache目录下，删除%System32%目录下的spoolsv.exe文件，传送%Windir%\Tasks目录下的poolsv.ext到%System32%目录下，使系统启动后加载被修改的spoolsv.exe文件，遍历进程查找AVP.exe、kvsrvxp.exe、kissvc.exe，找到存在以上进程则调用API强行结束进程，遍历进程查找explorer1.exe，如找到该进程则申请内存空间向该进程写入978944字节病毒数据，病毒运行后会连接网络下载大量病毒文件。

安天反病毒工程师建议
    1.最好安装安天防线防范日益增多的病毒。用户在安装反病毒件之后，应将病毒监控功能打开、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。
    2.安天反病毒应急中心及时进行了病毒库更新，升级安天防线到2008年11月10日的病毒库即可查杀以上病毒

一、“IRC后门”（Backdoor.Win32.Rbot.ivf） 威胁级别：★★★★
    此病毒为后门类病毒，该病毒运行后，复制自身文件到%System32%目录下重命名为：“WinFUS32.exe”，此病毒为一个利用Windows平台下IRC协议的网络蠕虫，受感染用户可能会被操纵进行Ddos攻击、远程控制、发送垃圾邮件、创建本地Tftp、下载病毒文件等行为。

二、“木马下载者gzt”（Trojan-Downloader.Win32.Delf.gzt） 威胁级别：★★★★
    该病毒为木马类。病毒运行后复制多个自身到系统目录下和All Users用户下的启动文件夹下；并释放autorun.inf文件和本体到磁盘根目录下，以达到打开磁盘运行病毒和感染可移动传输介质，并将autorun.inf文件内容备份到h.bmp中；并将病毒主文件设置为隐藏属性；修改注册表添加启动项，将启动项键值指向系统目录下的病毒文件，修改隐藏文件显示属性，使得用户无法发现病毒文件，映像劫持多种防病毒软件，使得防病毒软件失效。该病毒会连接指定地址下载大量病毒，病毒下载后自动运行，其中以盗号木马居多。给病毒的清理带来了一定的困难。

安天反病毒工程师建议
    1.最好安装安天防线防范日益增多的病毒。用户在安装反病毒件之后，应将病毒监控功能打开、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。
    2.安天反病毒应急中心及时进行了病毒库更新，升级安天防线到2008年11月11日的病毒库即可查杀以上病毒