本周第一位：

Worm/Win32.AutoRun.xgn[Net]為蠕蟲類病毒，病毒運行后，動態(tài)獲取API，查找類名為“CabinetWClass”的窗體，如找到該窗口則調(diào)用API函數(shù)枚舉子窗體并發(fā)送“WM_SETTEXT”、“WM_KEYDOWN”消息，獲取進程句柄修改訪問權(quán)限，遍歷進程查找AVP.exe，找到該進程后，將系統(tǒng)時間設(shè)置為當(dāng)前時間減3天的時間即向前3天時間，延遲一段時間再將時間還原，遍歷進程查找安全軟件進程、如發(fā)現(xiàn)RUNIEP.EXE、KRegEx.exe、KVXP.kxp、360tray.exe、avp.exe進程就調(diào)用ntsd命令強行關(guān)閉。

衍生病毒文件lz090111.exe、lz32dla.dll到%System%目錄下，修改注冊表項使設(shè)置顯示隱藏文件失效，添加注冊表啟動項，并在%Documents and Settings%\All Users\目錄下創(chuàng)建配置文件lzdf16.ini存放衍生的病毒路徑，開啟iexploe.exe進程連接網(wǎng)絡(luò)，病毒會不定期下載病毒文件更新自身。

lz32dla.dll主要作用為開啟iexplore.exe進程創(chuàng)建一個線程，連接網(wǎng)絡(luò)記錄安裝信息，在每個盤符下生成anto.exe病毒文件，達到雙擊盤符自動運行病毒目的，添加大量映像劫持使部分安全軟件不能正常開啟，監(jiān)視windows 任務(wù)管理器窗口，如發(fā)現(xiàn)則調(diào)用API函數(shù)發(fā)送關(guān)閉消息。

重點關(guān)注：

Backdoor/Win32.Agent.abqq該病毒為后門類，病毒運行后檢測調(diào)試器，遍歷進程查找指定的進程名稱，如果存在調(diào)試器或含有指定的進程名稱則病毒體退出；結(jié)束系統(tǒng)中的指定服務(wù)；在臨時目錄下衍生名稱為 "dll***.dll"（***為隨機數(shù)字）的文件；加載衍生的dll文件。

衍生自刪除批處理文件到臨時目錄下運行后刪除病毒體和批處理自身。衍生的動態(tài)鏈接庫文件被加載后，衍生Nskhelper2.sys文件到系統(tǒng)目錄下，并創(chuàng)建事件NsDlRk250，檢測當(dāng)前的系統(tǒng)時間，如果年份大于2008則退出執(zhí)行。

否則創(chuàng)建遠程線程，連接網(wǎng)絡(luò)下載病毒文件、添加大量映像劫持、修改host文件，在各個盤根目錄下衍生病毒文件和autorun.inf文件、在系統(tǒng)目錄下釋放其他驅(qū)動文件等操作；衍生appwinproc.dll到系統(tǒng)目錄，檢測標題含有指定字符串的窗口并結(jié)束其進程。

專家建議：

1.在任務(wù)管理器中查看是否有陌生以及可疑的進程存在。
2.安裝安天防線反病毒軟件。
3.及時打全系統(tǒng)補丁。 
4.及時關(guān)注各種應(yīng)用軟件的漏洞并及時更新到應(yīng)用軟件的最新版本。
5.在需要輸入游戲賬號信息時，打開安天防線反病毒軟件的實時監(jiān)控功能。
6.注意經(jīng)常更新安天防線反病毒軟件的病毒庫來阻止被病毒感染。
手動查殺方法：
針對以上病毒，其病毒變種非常之多。其應(yīng)用技術(shù)各不相同所以沒有一個固定的手動查殺方法， 只能告訴用戶一些基本的殺毒方法,

針對微軟XP用戶：

1.斷開網(wǎng)絡(luò)連接，進行以下操作。
2.在“運行”中輸入“msconfig”分別點擊“啟動”與“服務(wù)”標簽。
3.查看是否有陌生程序的啟動項，有則找到對應(yīng)位置，使用安天防線反病毒軟件查殺或手動刪除。
4.打開“文件夾選項”中的查看隱藏文件等選項，這樣可以看到隱藏的病毒體。如看不到隱藏文件表明注冊表中顯示隱藏文件項被修改，解決辦法使用安天防線反病毒軟件掃描或者手動修改。
5.對于使用移動設(shè)備時，請先用右鍵點擊查看，是否有“自動運行”項，如有，在使用前用安天防線反病毒軟件掃描。

下周病毒預(yù)測：

從本周的趨勢觀察，及據(jù)安天實驗室捕獲統(tǒng)計， 本周木馬類病毒有所上升，該類病毒根據(jù)作者的要求其功能也有一定的變化，其主要目的是竊取用戶的隱私信息；提醒經(jīng)常使用網(wǎng)銀等網(wǎng)上付費業(yè)務(wù)的用戶和游戲玩家注意保護個人賬號密碼密?？ǖ刃畔ⅰ?/P>

專家預(yù)防建議：

1.建立良好的安全習(xí)慣，不打開可疑郵件和可疑網(wǎng)站。
2.不要隨意接收聊天工具上傳送的文件以及打開發(fā)過來的網(wǎng)站鏈接。 
3.使用移動介質(zhì)時最好使用鼠標右鍵打開使用，必要時先要進行掃描。 
4.現(xiàn)在有很多利用系統(tǒng)漏洞傳播的病毒，所以給系統(tǒng)打全補丁也很關(guān)鍵。 
5.安裝專業(yè)的防毒軟件升級到最新版本，并開啟實時監(jiān)控功能。 
6.為本機管理員帳號設(shè)置較為復(fù)雜的密碼，預(yù)防病毒通過密碼猜測進行傳播，最好是數(shù)字與字母組合的密碼。 
7.不要從不可靠的渠道下載軟件，因為這些軟件很可能是帶有病毒的。
8.下載軟件后應(yīng)用使用安天防線反病毒軟件進行查殺，然后進行使用。

【相關(guān)文章】

• 更多病毒日報

• 更多病毒周報