本周第一位：

Worm/Win32.AutoRun.xgn[Net]為蠕蟲類病毒，病毒運(yùn)行后，動(dòng)態(tài)獲取API，查找類名為“CabinetWClass”的窗體，如找到該窗口則調(diào)用API函數(shù)枚舉子窗體并發(fā)送“WM_SETTEXT”、“WM_KEYDOWN”消息，獲取進(jìn)程句柄修改訪問權(quán)限，遍歷進(jìn)程查找AVP.exe，找到該進(jìn)程后，將系統(tǒng)時(shí)間設(shè)置為當(dāng)前時(shí)間減3天的時(shí)間即向前3天時(shí)間，延遲一段時(shí)間再將時(shí)間還原，遍歷進(jìn)程查找安全軟件進(jìn)程、如發(fā)現(xiàn)RUNIEP.EXE、KRegEx.exe、KVXP.kxp、360tray.exe、avp.exe進(jìn)程就調(diào)用ntsd命令強(qiáng)行關(guān)閉。

衍生病毒文件lz090111.exe、lz32dla.dll到%System%目錄下，修改注冊(cè)表項(xiàng)使設(shè)置顯示隱藏文件失效，添加注冊(cè)表啟動(dòng)項(xiàng)，并在%Documents and Settings%\All Users\目錄下創(chuàng)建配置文件lzdf16.ini存放衍生的病毒路徑，開啟iexploe.exe進(jìn)程連接網(wǎng)絡(luò)，病毒會(huì)不定期下載病毒文件更新自身。

lz32dla.dll主要作用為開啟iexplore.exe進(jìn)程創(chuàng)建一個(gè)線程，連接網(wǎng)絡(luò)記錄安裝信息，在每個(gè)盤符下生成anto.exe病毒文件，達(dá)到雙擊盤符自動(dòng)運(yùn)行病毒目的，添加大量映像劫持使部分安全軟件不能正常開啟，監(jiān)視windows 任務(wù)管理器窗口，如發(fā)現(xiàn)則調(diào)用API函數(shù)發(fā)送關(guān)閉消息。

重點(diǎn)關(guān)注：

Backdoor/Win32.Agent.abqq該病毒為后門類，病毒運(yùn)行后檢測調(diào)試器，遍歷進(jìn)程查找指定的進(jìn)程名稱，如果存在調(diào)試器或含有指定的進(jìn)程名稱則病毒體退出；結(jié)束系統(tǒng)中的指定服務(wù)；在臨時(shí)目錄下衍生名稱為 "dll***.dll"（***為隨機(jī)數(shù)字）的文件；加載衍生的dll文件。

衍生自刪除批處理文件到臨時(shí)目錄下運(yùn)行后刪除病毒體和批處理自身。衍生的動(dòng)態(tài)鏈接庫文件被加載后，衍生Nskhelper2.sys文件到系統(tǒng)目錄下，并創(chuàng)建事件NsDlRk250，檢測當(dāng)前的系統(tǒng)時(shí)間，如果年份大于2008則退出執(zhí)行。

否則創(chuàng)建遠(yuǎn)程線程，連接網(wǎng)絡(luò)下載病毒文件、添加大量映像劫持、修改host文件，在各個(gè)盤根目錄下衍生病毒文件和autorun.inf文件、在系統(tǒng)目錄下釋放其他驅(qū)動(dòng)文件等操作；衍生appwinproc.dll到系統(tǒng)目錄，檢測標(biāo)題含有指定字符串的窗口并結(jié)束其進(jìn)程。

專家建議：

1.在任務(wù)管理器中查看是否有陌生以及可疑的進(jìn)程存在。
2.安裝安天防線反病毒軟件。
3.及時(shí)打全系統(tǒng)補(bǔ)丁。 
4.及時(shí)關(guān)注各種應(yīng)用軟件的漏洞并及時(shí)更新到應(yīng)用軟件的最新版本。
5.在需要輸入游戲賬號(hào)信息時(shí)，打開安天防線反病毒軟件的實(shí)時(shí)監(jiān)控功能。
6.注意經(jīng)常更新安天防線反病毒軟件的病毒庫來阻止被病毒感染。
手動(dòng)查殺方法：
針對(duì)以上病毒，其病毒變種非常之多。其應(yīng)用技術(shù)各不相同所以沒有一個(gè)固定的手動(dòng)查殺方法， 只能告訴用戶一些基本的殺毒方法,

針對(duì)微軟XP用戶：

1.斷開網(wǎng)絡(luò)連接，進(jìn)行以下操作。
2.在“運(yùn)行”中輸入“msconfig”分別點(diǎn)擊“啟動(dòng)”與“服務(wù)”標(biāo)簽。
3.查看是否有陌生程序的啟動(dòng)項(xiàng)，有則找到對(duì)應(yīng)位置，使用安天防線反病毒軟件查殺或手動(dòng)刪除。
4.打開“文件夾選項(xiàng)”中的查看隱藏文件等選項(xiàng)，這樣可以看到隱藏的病毒體。如看不到隱藏文件表明注冊(cè)表中顯示隱藏文件項(xiàng)被修改，解決辦法使用安天防線反病毒軟件掃描或者手動(dòng)修改。
5.對(duì)于使用移動(dòng)設(shè)備時(shí)，請(qǐng)先用右鍵點(diǎn)擊查看，是否有“自動(dòng)運(yùn)行”項(xiàng)，如有，在使用前用安天防線反病毒軟件掃描。

下周病毒預(yù)測：

從本周的趨勢觀察，及據(jù)安天實(shí)驗(yàn)室捕獲統(tǒng)計(jì)， 本周木馬類病毒有所上升，該類病毒根據(jù)作者的要求其功能也有一定的變化，其主要目的是竊取用戶的隱私信息；提醒經(jīng)常使用網(wǎng)銀等網(wǎng)上付費(fèi)業(yè)務(wù)的用戶和游戲玩家注意保護(hù)個(gè)人賬號(hào)密碼密保卡等信息。

專家預(yù)防建議：

1.建立良好的安全習(xí)慣，不打開可疑郵件和可疑網(wǎng)站。
2.不要隨意接收聊天工具上傳送的文件以及打開發(fā)過來的網(wǎng)站鏈接。 
3.使用移動(dòng)介質(zhì)時(shí)最好使用鼠標(biāo)右鍵打開使用，必要時(shí)先要進(jìn)行掃描。 
4.現(xiàn)在有很多利用系統(tǒng)漏洞傳播的病毒，所以給系統(tǒng)打全補(bǔ)丁也很關(guān)鍵。 
5.安裝專業(yè)的防毒軟件升級(jí)到最新版本，并開啟實(shí)時(shí)監(jiān)控功能。 
6.為本機(jī)管理員帳號(hào)設(shè)置較為復(fù)雜的密碼，預(yù)防病毒通過密碼猜測進(jìn)行傳播，最好是數(shù)字與字母組合的密碼。 
7.不要從不可靠的渠道下載軟件，因?yàn)檫@些軟件很可能是帶有病毒的。
8.下載軟件后應(yīng)用使用安天防線反病毒軟件進(jìn)行查殺，然后進(jìn)行使用。

【相關(guān)文章】

• 更多病毒日?qǐng)?bào)

• 更多病毒周報(bào)