【51CTO.com 獨(dú)家特稿】從圖看出Worm.Win32.Otwycal.g家族繼續(xù)占據(jù)本周流行的病毒***位。該病毒屬蠕蟲類，病毒運(yùn)行后判斷進(jìn)程列表中是否存在smss.exe進(jìn)程，若不存在程序退出模塊；判斷程序是否為%DriveLetter%\MSDOS.bat，若是用資源管理器打開該驅(qū)動(dòng)器后返回；刪除文件%Windir%\Tasks\0x01xx8p.exe后，將自身移動(dòng)到該位置，并更改為該文件名。

圖1

檢測進(jìn)程中是否有avp.exe進(jìn)程，如果有，修改系統(tǒng)時(shí)間為2004年1月1日9時(shí)1分，使卡巴主動(dòng)防御過期失效，且每4000ms重新設(shè)置一次時(shí)間；修改當(dāng)前進(jìn)程的令牌權(quán)限，復(fù)制%System32%\spoolsv.exe到%Windir%\Tasks\poolsv.ext。

修改%Windir%\Tasks\poolsv.ext，將***一個(gè)節(jié)（.rsrc）節(jié)名改為.wycao，并在該節(jié)尾部寫入病毒代碼，復(fù)制%System32%\spoolsv.exe到%System32%\dllcache\spoolsv.exe,移動(dòng)%System32%\spoolsv.exe到%Windir%\Tasks\poolsv.brk移動(dòng)修改后的%Windir%\Tasks\poolsv.ext到%System32%\spoolsv.exe，移動(dòng)成功后退出，否則刪除文件%System32%\spoolsv.exe；移動(dòng)修改后的%Windir%\Tasks\poolsv.ext到%System32%\spoolsv.exe。

重點(diǎn)關(guān)注：

Trojan/Win32.Magania.gen [Stealer] 該病毒為誅仙游戲盜號(hào)木馬，病毒運(yùn)行后，遍歷進(jìn)程查找my.exe，判斷%System32%目錄下是否存在hbzhuxian.dll文件，如存在則刪除DLL文件,若不存在則創(chuàng)建病毒互斥量"HBInjectMutex"，創(chuàng)建病毒文件System.exe、HBZHUXIAN.dll到%System32%目錄下，調(diào)用API函數(shù)將%System32%目錄下的System.exe病毒文件創(chuàng)建進(jìn)程，查找類名為“AskTao”的窗體。

找到后則向該窗體發(fā)送消息，試圖將病毒DLL注入到所有進(jìn)程中，打開注冊表設(shè)置360安全衛(wèi)士項(xiàng)、將安全性降低，刪除360安全衛(wèi)士注冊表啟動(dòng)項(xiàng)，添加注冊表啟動(dòng)項(xiàng)、釋放BAT批處理文件到%Temp%目錄下，病毒運(yùn)行完畢后使用批處理文件刪除自身。

病毒DLL文件行為：判斷自身進(jìn)程是否注入到elementclient.exe進(jìn)程中，如果是則創(chuàng)建一個(gè)線程，通過查找窗體類名為"Shell_TrayWnd"來定位Explorer進(jìn)程,然后將下載代碼注入該進(jìn)程中，通過全局鉤子截取誅仙游戲賬號(hào)及密碼，通過URL發(fā)送到作者指定的地址中。

專家建議：

1.在任務(wù)管理器中查看是否有陌生以及可疑的進(jìn)程存在。
2.安裝安天防線反病毒軟件。
3.及時(shí)打全系統(tǒng)補(bǔ)丁。 
4.及時(shí)關(guān)注各種應(yīng)用軟件的漏洞并及時(shí)更新到應(yīng)用軟件的***版本。 
5.在需要輸入游戲賬號(hào)信息時(shí)，打開安天防線反病毒軟件的實(shí)時(shí)監(jiān)控功能。
6.注意經(jīng)常更新安天防線反病毒軟件的病毒庫來阻止被病毒感染。

手動(dòng)查殺方法：

針對以上病毒，其病毒變種非常之多。其應(yīng)用技術(shù)各不相同所以沒有一個(gè)固定的手動(dòng)查殺方法， 只能告訴用戶一些基本的殺毒方法,針對微軟XP用戶：

1.斷開網(wǎng)絡(luò)連接，進(jìn)行以下操作。
2.在“運(yùn)行”中輸入“msconfig”分別點(diǎn)擊“啟動(dòng)”與“服務(wù)”標(biāo)簽。
3.查看是否有陌生程序的啟動(dòng)項(xiàng)，有則找到對應(yīng)位置，使用安天防線反病毒軟件查殺或手動(dòng)刪除。
4.打開“文件夾選項(xiàng)”中的查看隱藏文件等選項(xiàng)，這樣可以看到隱藏的病毒體。如看不到隱藏文件表明注冊表中顯示隱藏文件項(xiàng)被修改，解決辦法使用安天防線反病毒軟件掃描或者手動(dòng)修改。
5.對于使用移動(dòng)設(shè)備時(shí)，請先用右鍵點(diǎn)擊查看，是否有“自動(dòng)運(yùn)行”項(xiàng)，如有，在使用前用安天防線反病毒軟件掃描。

下周病毒預(yù)測：

從本周的趨勢觀察，及據(jù)安天實(shí)驗(yàn)室捕獲統(tǒng)計(jì)， Worm.Win32.Otwycal.g占據(jù)本周排行首位，木馬在排行榜中的位置有所上升，提醒游戲玩家應(yīng)留意該類病毒的侵襲，注意保護(hù)個(gè)人賬號(hào)密碼密保卡等信息。

專家預(yù)防建議：

1.建立良好的安全習(xí)慣，不打開可疑郵件和可疑網(wǎng)站。 
2.不要隨意接收聊天工具上傳送的文件以及打開發(fā)過來的網(wǎng)站鏈接。 
3.使用移動(dòng)介質(zhì)時(shí)***使用鼠標(biāo)右鍵打開使用，必要時(shí)先要進(jìn)行掃描。 
4.現(xiàn)在有很多利用系統(tǒng)漏洞傳播的病毒，所以給系統(tǒng)打全補(bǔ)丁也很關(guān)鍵。 
5.安裝專業(yè)的防毒軟件升級(jí)到***版本，并開啟實(shí)時(shí)監(jiān)控功能。 
6.為本機(jī)管理員帳號(hào)設(shè)置較為復(fù)雜的密碼，預(yù)防病毒通過密碼猜測進(jìn)行傳播，***是數(shù)字與字母組合的密碼。 
7.不要從不可靠的渠道下載軟件，因?yàn)檫@些軟件很可能是帶有病毒的。
8.下載軟件后應(yīng)用使用安天防線反病毒軟件進(jìn)行查殺，然后進(jìn)行使用。

【相關(guān)文章】

• 更多病毒日報(bào)

• 更多病毒周報(bào)