圖

【51CTO.com 綜合消息】本周第一位：   

Worm/Win32.Runouce.b。該惡意文件為蠕蟲(chóng)病毒，惡意病毒文件進(jìn)行了加密處理，病毒運(yùn)行后、暴力搜索kernel32基址，動(dòng)態(tài)獲取大量API函數(shù)地址，創(chuàng)建互斥量名為"ChineseHacker-2"，防止多次運(yùn)行產(chǎn)生的沖突，調(diào)用API函數(shù)隱藏打開(kāi)病毒本體文件，創(chuàng)建病毒文件"runouce.exe、KillEDLL.DLL"到%system32%目錄下，按節(jié)分別將病毒代碼寫(xiě)入該文件中，試圖將病毒DLL注入到所有進(jìn)程中，并將屬性設(shè)置為隱藏，添加注冊(cè)表啟動(dòng)項(xiàng)、創(chuàng)建一個(gè)注冊(cè)表監(jiān)視的線程，如被刪除，則立即重新寫(xiě)入病毒啟動(dòng)項(xiàng)，在系統(tǒng)目錄下衍生"readme.eml"文件，該文件為病毒發(fā)送的郵件內(nèi)容，該郵件內(nèi)容為了躲避安全軟件查殺便做了Base64加密處理，解密后得到的數(shù)據(jù)為PE文件可執(zhí)行文件（病毒體文件），病毒調(diào)用系統(tǒng)自帶的Outlook Express發(fā)送惡意郵件，病毒利用發(fā)送惡意郵件來(lái)傳播自身。

重點(diǎn)關(guān)注：

Trojan/Win32.OnLineGames.blao[GameThief]。該病毒為木馬類(lèi)，病毒運(yùn)行后檢測(cè)%System32%目錄下是否存在*.dll文件，如果存在更改其文件名；復(fù)制系統(tǒng)文件sfc_os.dll，加載sfc_os.dll文件副本并調(diào)用其中相關(guān)函數(shù)禁用系統(tǒng)文件保護(hù)；移動(dòng)系統(tǒng)文件comres.dll，嘗試在系統(tǒng)目錄和字體目錄下分別衍生病毒文件comres.dll，在系統(tǒng)字體目錄下衍生病毒文件gth67325.ttf；遍歷進(jìn)程列表查找巨人游戲客戶(hù)端進(jìn)程“hugemanclient.exe”，并將之關(guān)閉。調(diào)用comres.dll文件中的ins函數(shù)刪除原始病毒文件。病毒不會(huì)對(duì)注冊(cè)表進(jìn)行操作，病毒通過(guò)替換系統(tǒng)文件comres.dll的方式來(lái)實(shí)現(xiàn)隨機(jī)啟動(dòng)，被替換的comres.dll文件被加載后將截獲用戶(hù)信息調(diào)用gth67325.ttf文件將信息回傳給病毒作者。

專(zhuān)家建議：  

1.在任務(wù)管理器中查看是否有陌生以及可疑的進(jìn)程存在。  

2.安裝安天防線反病毒軟件。  

3.及時(shí)打全系統(tǒng)補(bǔ)丁。   

4.及時(shí)關(guān)注各種應(yīng)用軟件的漏洞并及時(shí)更新到應(yīng)用軟件的最新版本。   

5.在需要輸入游戲賬號(hào)信息時(shí)，打開(kāi)安天防線反病毒軟件的實(shí)時(shí)監(jiān)控功能。  

6.注意經(jīng)常更新安天防線反病毒軟件的病毒庫(kù)來(lái)阻止被病毒感染。

手動(dòng)查殺方法：

針對(duì)以上病毒，其病毒變種非常之多。其應(yīng)用技術(shù)各不相同所以沒(méi)有一個(gè)固定的手動(dòng)查殺方法， 只能告訴用戶(hù)一些基本的殺毒方法,針對(duì)微軟XP用戶(hù)：

1.斷開(kāi)網(wǎng)絡(luò)連接，進(jìn)行以下操作。

2.在“運(yùn)行”中輸入“msconfig”分別點(diǎn)擊“啟動(dòng)”與“服務(wù)”標(biāo)簽。

3.查看是否有陌生程序的啟動(dòng)項(xiàng)，有則找到對(duì)應(yīng)位置，使用安天防線反病毒軟件查殺或手動(dòng)刪除。

4.打開(kāi)“文件夾選項(xiàng)”中的查看隱藏文件等選項(xiàng)，這樣可以看到隱藏的病毒體。如看不到隱藏文件表明注冊(cè)表中顯示隱藏文件項(xiàng)被修改，解決辦法使用安天防線反病毒軟件掃描或者手動(dòng)修改。

5.對(duì)于使用移動(dòng)設(shè)備時(shí)，請(qǐng)先用右鍵點(diǎn)擊查看，是否有“自動(dòng)運(yùn)行”項(xiàng)，如有，在使用前用安天防線反病毒軟件掃描。

下周病毒預(yù)測(cè)：   

從本周的趨勢(shì)觀察，及據(jù)安天實(shí)驗(yàn)室捕獲統(tǒng)計(jì)， 具有感染能力的病毒占據(jù)了整個(gè)病毒的排行榜，如今正當(dāng)五一之際，提醒游戲玩家注意保護(hù)個(gè)人賬號(hào)密碼密保卡等信息，及時(shí)升級(jí)病毒庫(kù)，防止個(gè)人賬號(hào)密碼被盜事件的發(fā)生。

專(zhuān)家預(yù)防建議：  

1.建立良好的安全習(xí)慣，不打開(kāi)可疑郵件和可疑網(wǎng)站。   

2.不要隨意接收聊天工具上傳送的文件以及打開(kāi)發(fā)過(guò)來(lái)的網(wǎng)站鏈接。   

3.使用移動(dòng)介質(zhì)時(shí)最好使用鼠標(biāo)右鍵打開(kāi)使用，必要時(shí)先要進(jìn)行掃描。   

4.現(xiàn)在有很多利用系統(tǒng)漏洞傳播的病毒，所以給系統(tǒng)打全補(bǔ)丁也很關(guān)鍵。   

5.安裝專(zhuān)業(yè)的防毒軟件升級(jí)到最新版本，并開(kāi)啟實(shí)時(shí)監(jiān)控功能。   

6.為本機(jī)管理員帳號(hào)設(shè)置較為復(fù)雜的密碼，預(yù)防病毒通過(guò)密碼猜測(cè)進(jìn)行傳播，最好是數(shù)字與字母組合的密碼。   

7.不要從不可靠的渠道下載軟件，因?yàn)檫@些軟件很可能是帶有病毒的。  

8.下載軟件后應(yīng)用使用安天防線反病毒軟件進(jìn)行查殺，然后進(jìn)行使用。