動(dòng)物家園計(jì)算機(jī)安全咨詢中心（[url]www.kingzoo.com[/url]）反病毒斗士報(bào)牽手廣州市計(jì)算機(jī)信息網(wǎng)絡(luò)安全協(xié)會(huì)（[url]www.cinsa.cn[/url]）發(fā)布：

本周重點(diǎn)關(guān)注病毒：

“掃蕩波”（Worm.SaodangBo.a.94208）??威脅級(jí)別：★★★
? ?? ? 微軟MS08-067漏洞公布之后，利用該漏洞發(fā)動(dòng)***的惡意程序大量涌現(xiàn)。
? ?? ? 它利用網(wǎng)頁(yè)掛馬進(jìn)行傳播，病毒進(jìn)入電腦后，立即對(duì)局域網(wǎng)內(nèi)所有電腦進(jìn)行掃描，只要發(fā)現(xiàn)它們未打MS08-067漏洞的補(bǔ)丁，就立即將其攻陷，往里面下載自己的最新版本和大量的其它惡意程序，主要是各類下載器和盜號(hào)***。
? ?? ? 如果對(duì)網(wǎng)內(nèi)電腦的***失敗，這些電腦上則會(huì)出現(xiàn)svchost.exe出錯(cuò)的提示，說(shuō)“svchost.exe中發(fā)生未處理的win32異常”，同時(shí)網(wǎng)絡(luò)連接中斷。用戶要是發(fā)現(xiàn)自己的電腦中出現(xiàn)此情況，就說(shuō)明您電腦所處的局域網(wǎng)內(nèi)有機(jī)器中毒。這時(shí)候，您的電腦并沒(méi)有中毒，但千萬(wàn)不可以有僥幸心理，應(yīng)該立即打上MS08-067補(bǔ)丁，因?yàn)樵摱镜?**不會(huì)僅僅一次，而且隨著病毒作者對(duì)它進(jìn)行升級(jí)，它會(huì)擁有更強(qiáng)的***力。
? ?? ? 該毒共含有四個(gè)子文件，分別是aaa.bat、mrosconfig.exe、vista.exe、qqq.sys。進(jìn)入系統(tǒng)后，它首先調(diào)用vista.exe對(duì)本網(wǎng)段(C類)范圍內(nèi)的所有計(jì)算機(jī)的445端口進(jìn)行掃描。之后，挑選出可以連上445端口的計(jì)算機(jī)保存到一個(gè)列表文件中。然后，再調(diào)用mrosconfig.exe對(duì)列表文件中的計(jì)算機(jī)發(fā)送RPC請(qǐng)求，使遠(yuǎn)程計(jì)算機(jī)中的svchost.exe中解析RPC路徑時(shí)溢出，在遠(yuǎn)程計(jì)算機(jī)中下載一個(gè)名為ko.exe的文件并執(zhí)行。
? ?? ?ko.exe文件是另一個(gè)下載器，它會(huì)下載更多的其它惡意程序安裝到被***的計(jì)算機(jī)上。目前動(dòng)物家園反病毒專家在其下載清單中已發(fā)現(xiàn)機(jī)器狗***和針對(duì)《QQ三國(guó)》、《完美世界》等網(wǎng)游的盜號(hào)***。

“破壞王盜號(hào)器34816”（Win32.PSWTroj.Magania.34816）??威脅級(jí)別：★★

? ?? ? 該毒采用消息攔截的方式來(lái)盜取QQ游戲的帳號(hào)和密碼，它在釋放出子文件后，就會(huì)建立鉤子，攔截用戶輸入的帳號(hào)信息。
? ?? ?病毒子文件gdipro.dll、rpcss.dll、sys17002.dll會(huì)被釋放到%WINDOWS%\SYSTEM32\目錄下，并寫入注冊(cè)表啟動(dòng)項(xiàng)，實(shí)現(xiàn)開機(jī)自啟動(dòng)。其中g(shù)dipro.dll和rpcss.dll會(huì)被用于替換掉系統(tǒng)自身一個(gè)名為rpcss.dll的文件及其備份，使得病毒能夠躲避系統(tǒng)安全模塊和安全軟件的查殺。但也正因如此，當(dāng)查殺該毒時(shí)，系統(tǒng)就可能因失去rpcss.dll文件而運(yùn)行異常，比如網(wǎng)絡(luò)中斷、無(wú)法粘貼文檔等。
? ?? ? 而sys17002.dll則負(fù)責(zé)盜取帳號(hào)信息，盜取成功后就將贓物加密發(fā)送到病毒作者指定的地址。
? ?? ? 用戶如果進(jìn)行手動(dòng)查殺，需要將上述幾個(gè)文件全部刪除，然后將系統(tǒng)文件“C:\WINDOWS\system32\srpcss.dll”改名為“C:\WINDOWS\system32\rpcss.dll”，以恢復(fù)系統(tǒng)自身功能。同時(shí)，需對(duì)注冊(cè)表做以下兩項(xiàng)修改：
將“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rpcss\ObjectName”改為“NT AUTHORITY\NetworkService”。
將“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rpcss\Parameters\ServiceDll”改為“%SystemRoot%\system32\rpcss.dll”
? ?? ? 完成以上步驟后，重啟電腦，然后利用殺毒軟件全盤查殺一次，系統(tǒng)就可以完全恢復(fù)正常了。

“后門粉碎器49152”（Win32.Troj.Agent.49152）??威脅級(jí)別：★★

? ?? ???該毒的主要危害是開啟用戶電腦的一些敏感端口，與病毒作者設(shè)定好的***服務(wù)器進(jìn)行連接，便于***進(jìn)行***。
為擴(kuò)大自己的感染范圍，該毒采用了AUTO技術(shù)進(jìn)行傳播。每當(dāng)感染了一臺(tái)新的電腦，該毒就會(huì)在所有的磁盤分區(qū)中建立副本RavMon.exe，并用AutoRun.inf指向它。只要用戶在中毒電腦上使用U盤等移動(dòng)存儲(chǔ)設(shè)備，該毒就會(huì)立即將移動(dòng)設(shè)備感染，實(shí)現(xiàn)自動(dòng)傳播。另外，有跡象表明，該毒的部分變種會(huì)感染系統(tǒng)中某些格式的文件。
? ?? ?病毒會(huì)在系統(tǒng)中釋放出多個(gè)子文件，比如%WINDOWS%目錄下的SVCHOST.EXE和SVCHOST.INI，以及%WINDOWS%\TEMP\目錄下的9988.tmp。各文件會(huì)相互配合，繞開監(jiān)控、奪取權(quán)限，最終攻陷用戶電腦。

動(dòng)物家園計(jì)算機(jī)安全咨詢中心反病毒工程師建議：

? ?1、從其他網(wǎng)站下載的軟件或者文件，打開前一定要注意檢查下是否帶有病毒。
??
? ?2、別輕易打開陌生人郵件及郵件附件、連接等。

? ?3、用戶應(yīng)該及時(shí)下載微軟公布的最新補(bǔ)丁，來(lái)避免病毒利用漏洞襲擊用戶的電腦。

? ?4、盡量把系統(tǒng)帳號(hào)密碼設(shè)置強(qiáng)壯點(diǎn)，勿用空密碼或者過(guò)于簡(jiǎn)單。

? ?5、發(fā)現(xiàn)異常情況，請(qǐng)立即更新你的反病毒軟件進(jìn)行全盤查殺或者登陸bbs.kingzoo.com(安全咨詢中心)咨詢

轉(zhuǎn)載于:https://blog.51cto.com/kingzoo/111324

總結(jié)

以上是生活随笔為你收集整理的病毒周报(081110至081116)的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。