金山病毒周报：2月18日-24日

    本周重点关注病毒：

    “依然下载者36864”（Win32.Troj.Downloader.yl.a.36864）威胁级别：★★

    病毒进入电脑系统后，将病毒文件Flower.Exe复制到%WINDOWS%\SYSTEM32\目录和%WINDOWS%\SYSTEM32\drivers\disdn\目录下，并在%WINDOWS%\SYSTEM32\下释放出一个Flower.DLL病毒文件。

    随后立即自动检测是否安装杀毒软件卡巴斯基，如有，就修改时间使之失效，并且映像劫持毒霸、金山清理专家、江民、卡巴斯基、瑞星、冰刃等几乎所有主流安全产品，使它们无法正常运行，如果用户试图运行它们，只可能将病毒激活。接着，病毒不断检测窗口标题，如果发现窗口标题与计算机安全有关，就会将其关闭，以阻止用户使用安全软件或系统自带的一些管理工具，甚至造成用户连大部分安全软件厂商的网站都无登录。

    病毒在后台建立远程连接，从木马种植者指定的地址下载大量其它病毒，为了使自己下载流畅，它甚至会玩起“黑吃黑”，搜索并劫持系统中其它下载者的运行。

    此外，该病毒会在所有硬盘分区下释放出病毒副本，并创建 AUTORUN.INF 文件指向它，使用户一打开分区就激活病毒。如果用户在中毒电脑上使用U盘等移动设备，病毒也会将其感染，借以扩大自己的传播范围。

    此外值得关注病毒

    “破防盗号者98396”（Win32.Troj.OnlineGamesT.nr.98396）威胁级别：★★

    病毒进入用户的电脑系统后，在系统盘中释放出两个病毒文件，分别为%WINDOWS%\system32\下的naijoad.dll和%WINDOWS%\system32\drivers\目录下的msacpe.sys。接着，它修改注册表中的相关数据，使自己可以在开机后自动运行。

    病毒释放出的文件各有分工。其中，Msacpe.sys在运行后会查找目前电脑上安装的杀毒软件，并帮助病毒突破杀毒软件的主动防御，而naijoad.dll被注入到系统的每个进程，搜索作案对象。它的作案对象是《奇迹世界》，《魔兽世界》，《大话西游》等多款网络游戏。

    当病毒运行起来后，它就会读取配置文件，并根据配置文件中的信息不断注入进程，搜索并盗取游戏的帐号，最后发送盗取的信息到木马种植者指定网站，给游戏玩家造成虚拟财产的损失。

    “间谍相机蠕虫125893”（Worm.AutoRun.125893）威胁级别：★★

    该蠕虫病毒进入电脑系统后，会将a.jpg、Flower.dll、vista.exe等三个病毒文件释放至系统盘的%WINDOWS%\system32\目录下，并在全部的磁盘分区中生成AUTO病毒文件test.exe和autorun.inf。只要用户双击鼠标左键进入含毒磁盘，就会激活病毒。而如果在中毒电脑上使用U盘等移动存储设备，病毒也会将其传染，扩大自己的传播范围。

    然后，病毒修改系统注册表，劫持几乎所有目前已发布的杀毒软件和安全辅助软件，造成它们失效，使自己接下来的破坏行为可以顺利进行。并且，只要用户试图运行被劫持的软件，就会再次激活病毒。而失去保护措施的电脑，将极易受到来自外部的非法入侵。

    病毒运行起来后，会在用户机器上增加自己的协议，监视用户机器上的网络数据，并不时不时的对用户机器实行截屏等非法记录动作，从中盗取帐号、密码、商业数据等敏感信息，给用户造成无法估计的损失。而在发作后期，它还会利用中毒电脑对外发送含毒邮件，同时下载更多其它病毒，引发更大的破坏。

    金山毒霸反病毒工程师建议

    1.请及时更新您的杀毒软件，网络版可以通过控制台执行全网升级。

    2.建议手动或使用毒霸来关闭自动播放功能,防止病毒利用U盘等可移动设备来进行传播。

    3.最好安装专业的杀毒软件进行全面监控。建议用户安装反病毒软件防止日益增多的病毒，用户在安装反病毒软件之后，应该经常进行升级、将一些主要监控经常打开（如邮件监控）、内存监控等，遇到问题要上报， 这样才能真正保障计算机的安全。

    金山毒霸反病毒应急中心及时进行了病毒库更新，升级毒霸到2008年2月24日的病毒库即可查以上病毒；如未安装金山毒霸，可以登录http://www.duab.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵，拨打金山毒霸反病毒急救电话010—82331816反病毒专家将为您提供帮助。