【51CTO.com 綜合消息】本周總體病毒情況依然保持相對平穩的狀態，未出現嚴重危害的病毒事件。在病毒數量及種類上與前一周相比略有下降。

本周關注的病毒家族：

病毒名稱： Win32.MahsaP2P.A

病毒別稱：TROJ_VB.DWI (Trend), Trojan.Win32.VB.aol (Kaspersky), W32.Redlofwen (Symantec), W32/SillyFDC-I (Sophos)

病毒屬性：蠕蟲病毒

危害性：中 

流行程度：中

病毒特性：

Win32/MahsaP2P.A 是一種通過Kazaa（與電驢類似的一種p2p共享軟件）網絡點對點文件共享進行傳播的蠕蟲病毒。它是一個VB編譯的Win32可運行文件，大小是106496字節。

病毒文件的圖標顯示為一個文件夾圖標，誤導用戶打開病毒文件。

感染方式：

當病毒文件執行時，它使用Windows資源管理器打開%My documents%文件夾。

隨后病毒使用以下文件名復制到下列目錄中：

New Folder.exe 和Top Pictures.exe 文件復制到%My documents% 文件夾中；

New Folder.exe 文件復制到 %My Music% 和 %My Pictures% 文件夾中；

Windows Explorer.exe 文件復制到 %Windows% 文件夾中。 

圖1

病毒還會復制 “New Folder.exe” 文件到它找到的其它的文件夾中。

Win32/MahsaP2P.A 設置以下注冊表鍵值，以確保在每次系統啟動時運行病毒文件：

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Explorer = 

“%Windows%\Windows Explorer.exe”

傳播方式：

通過P2P文件共享傳播

為了通過KazaA P2P網絡進行傳播，蠕蟲在C:\Program Files\kazaa\My Shared Folder目錄中生成病毒副本。

通過網絡傳播

Win32/MahsaP2P.A 復制New Folder.exe文件到它能找到的任意共享文件夾中。

危害：

修改注冊表

病毒修改以下注冊表鍵值，為了在系統啟動時運行病毒文件：

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Explorer

為了在Windows資源管理器的標題中顯示完整路徑，蠕蟲修改以下鍵值：

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\

CabinetState\FullPath ValueData = 0x1

為了在Windows資源管理器中隱藏文件擴展名，蠕蟲修改以下鍵值：

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt  

ValueData = 0x1  

本周常見較活躍病毒列表及變體數量：

表1

其他近期新病毒的資料可參考：

http://www.kill.com.cn/product/bingdujieshao/index.asp

安全防范建議：

1、對于個人PC，重要的系統補丁應及時安裝；對于企業用戶，應加強補丁管理意識，尤其對服務器等重要系統應盡早安裝；

2、不訪問有害信息網站，不隨意下載/安裝可疑插件，并檢查IE的安全級別是否被修改；

3、使用KILL時注意及時升級到最新的病毒庫版本，并保持時時監視程序處于開啟狀態；

4、不要隨意執行未知的程序文件；

5、合理的配置系統的資源管理器（比如顯示隱含文件、顯示文件擴展名），以便能夠更快地發現異常現象，防止被病毒程序利用；