圖

【51CTO.com 綜合消息】本周第一位：   

Worm/Win32.Runouce.b。該惡意文件為蠕蟲病毒，惡意病毒文件進行了加密處理，病毒運行后、暴力搜索kernel32基址，動態獲取大量API函數地址，創建互斥量名為"ChineseHacker-2"，防止多次運行產生的沖突，調用API函數隱藏打開病毒本體文件，創建病毒文件"runouce.exe、KillEDLL.DLL"到%system32%目錄下，按節分別將病毒代碼寫入該文件中，試圖將病毒DLL注入到所有進程中，并將屬性設置為隱藏，添加注冊表啟動項、創建一個注冊表監視的線程，如被刪除，則立即重新寫入病毒啟動項，在系統目錄下衍生"readme.eml"文件，該文件為病毒發送的郵件內容，該郵件內容為了躲避安全軟件查殺便做了Base64加密處理，解密后得到的數據為PE文件可執行文件（病毒體文件），病毒調用系統自帶的Outlook Express發送惡意郵件，病毒利用發送惡意郵件來傳播自身。

重點關注：

Trojan/Win32.OnLineGames.blao[GameThief]。該病毒為木馬類，病毒運行后檢測%System32%目錄下是否存在*.dll文件，如果存在更改其文件名；復制系統文件sfc_os.dll，加載sfc_os.dll文件副本并調用其中相關函數禁用系統文件保護；移動系統文件comres.dll，嘗試在系統目錄和字體目錄下分別衍生病毒文件comres.dll，在系統字體目錄下衍生病毒文件gth67325.ttf；遍歷進程列表查找巨人游戲客戶端進程“hugemanclient.exe”，并將之關閉。調用comres.dll文件中的ins函數刪除原始病毒文件。病毒不會對注冊表進行操作，病毒通過替換系統文件comres.dll的方式來實現隨機啟動，被替換的comres.dll文件被加載后將截獲用戶信息調用gth67325.ttf文件將信息回傳給病毒作者。

專家建議：  

1.在任務管理器中查看是否有陌生以及可疑的進程存在。  

2.安裝安天防線反病毒軟件。  

3.及時打全系統補丁。   

4.及時關注各種應用軟件的漏洞并及時更新到應用軟件的最新版本。   

5.在需要輸入游戲賬號信息時，打開安天防線反病毒軟件的實時監控功能。  

6.注意經常更新安天防線反病毒軟件的病毒庫來阻止被病毒感染。

手動查殺方法：

針對以上病毒，其病毒變種非常之多。其應用技術各不相同所以沒有一個固定的手動查殺方法， 只能告訴用戶一些基本的殺毒方法,針對微軟XP用戶：

1.斷開網絡連接，進行以下操作。

2.在“運行”中輸入“msconfig”分別點擊“啟動”與“服務”標簽。

3.查看是否有陌生程序的啟動項，有則找到對應位置，使用安天防線反病毒軟件查殺或手動刪除。

4.打開“文件夾選項”中的查看隱藏文件等選項，這樣可以看到隱藏的病毒體。如看不到隱藏文件表明注冊表中顯示隱藏文件項被修改，解決辦法使用安天防線反病毒軟件掃描或者手動修改。

5.對于使用移動設備時，請先用右鍵點擊查看，是否有“自動運行”項，如有，在使用前用安天防線反病毒軟件掃描。

下周病毒預測：   

從本周的趨勢觀察，及據安天實驗室捕獲統計， 具有感染能力的病毒占據了整個病毒的排行榜，如今正當五一之際，提醒游戲玩家注意保護個人賬號密碼密保卡等信息，及時升級病毒庫，防止個人賬號密碼被盜事件的發生。

專家預防建議：  

1.建立良好的安全習慣，不打開可疑郵件和可疑網站。   

2.不要隨意接收聊天工具上傳送的文件以及打開發過來的網站鏈接。   

3.使用移動介質時最好使用鼠標右鍵打開使用，必要時先要進行掃描。   

4.現在有很多利用系統漏洞傳播的病毒，所以給系統打全補丁也很關鍵。   

5.安裝專業的防毒軟件升級到最新版本，并開啟實時監控功能。   

6.為本機管理員帳號設置較為復雜的密碼，預防病毒通過密碼猜測進行傳播，最好是數字與字母組合的密碼。   

7.不要從不可靠的渠道下載軟件，因為這些軟件很可能是帶有病毒的。  

8.下載軟件后應用使用安天防線反病毒軟件進行查殺，然后進行使用。