圖

【51CTO.com 綜合消息】本周第一位：   

Worm/Win32.AutoIt.r該病毒運行后，獲取kernel32.dll基址，動態(tài)獲取大量API函數(shù)地址，動態(tài)加載系統(tǒng)庫文件uxtheme.dll，調(diào)用該庫文件的"IsThemeActive"函數(shù)，獲取系統(tǒng)版本號，動態(tài)加載系統(tǒng)庫文件kernel32.dll，調(diào)用該庫文件的IsWow64Process函數(shù)，查看操作系統(tǒng)是32位還是64位，獲取系統(tǒng)版本信息之后釋放到kernel32.dll,試圖更改桌面壁紙，檢測是否被處理調(diào)試狀態(tài)，如果是則調(diào)用MessageBox彈出以下信息："This is a compiled AutoIt script. AV researchers please email avsupport@autoitscript.com for support."，調(diào)用SHGetDesktopFolder函數(shù)獲得桌面文件夾的IShellFolder接口，注冊一個窗口類名"AutoIt v3 GUI"及消息句柄"TaskbarCreated"，完成之后創(chuàng)建隱藏的窗口，調(diào)用函數(shù)創(chuàng)建一個WORD圖標的托盤，調(diào)用函數(shù)進入消息循環(huán)一直到接收到WM_NULL則跳出循環(huán)，拷貝自身到%System32%目錄下備份多個病毒副本，分別重命名為fjwfbnyobd.exe、bomlfdbivbryevg.exe、iabzajxe.exe、ogwcoyjfpfnjn.exe（全部為隨機病毒名），并將屬性全部隱藏，在%System32%目錄下創(chuàng)建一個名為mydoc.rtf的WORD文件，調(diào)用函數(shù)創(chuàng)建大量病毒進程，循環(huán)打開多個mydoc.rtf文件，使系統(tǒng)速度大大下降，該病毒一旦運行之后將無法結(jié)束其進程直到系統(tǒng)資源耗盡導致死機。

重點關(guān)注：

Trojan/Win32.Agent.aofn[Dropper]。該病毒為木馬類，該病毒圖標為windows系統(tǒng)垃圾回收站圖標，并且有完整的版本信息，其公司名為“360安全衛(wèi)士”；病毒完全運行后，首先在%system32%目錄下復制自身、釋放注冊表導入文件添加映像劫持，其目的是躲避殺軟的主動防御；在%Windir%\Cursors下釋放taskmgr.exe，并運行，用以迷惑用戶誤認為任務(wù)管理器進程，并分別在%Windir%\Cursors和%Windir%\system32\wbem目錄進行本體備份；通過修改注冊表添加病毒啟動項和服務(wù)項，其中服務(wù)項名為“Microsoft Vista”，發(fā)行商為“360安全衛(wèi)士”，并在描述中用“系統(tǒng)登陸初始界面，終止該服務(wù)將導致系統(tǒng)不能正常登陸”字樣迷惑用戶，使其不敢輕易終止該服務(wù)項；該病毒還通過修改注冊表，使其在開關(guān)機時達到病毒自動運行的目的；病毒完全運行后刪除自身；連接網(wǎng)絡(luò)下載病毒文件；下載病毒中包含木馬下載者類病毒會下載大量病毒，甚至導致計算機死機。

專家建議：  

1.在任務(wù)管理器中查看是否有陌生以及可疑的進程存在。  

2.安裝安天防線反病毒軟件。  

3.及時打全系統(tǒng)補丁。   

4.及時關(guān)注各種應(yīng)用軟件的漏洞并及時更新到應(yīng)用軟件的最新版本。   

5.在需要輸入游戲賬號信息時，打開安天防線反病毒軟件的實時監(jiān)控功能。  

6.注意經(jīng)常更新安天防線反病毒軟件的病毒庫來阻止被病毒感染。

手動查殺方法：

針對以上病毒，其病毒變種非常之多。其應(yīng)用技術(shù)各不相同所以沒有一個固定的手動查殺方法， 只能告訴用戶一些基本的殺毒方法,針對微軟XP用戶：

1.斷開網(wǎng)絡(luò)連接，進行以下操作。

2.在“運行”中輸入“msconfig”分別點擊“啟動”與“服務(wù)”標簽。

3.查看是否有陌生程序的啟動項，有則找到對應(yīng)位置，使用安天防線反病毒軟件查殺或手動刪除。

4.打開“文件夾選項”中的查看隱藏文件等選項，這樣可以看到隱藏的病毒體。如看不到隱藏文件表明注冊表中顯示隱藏文件項被修改，解決辦法使用安天防線反病毒軟件掃描或者手動修改。

5.對于使用移動設(shè)備時，請先用右鍵點擊查看，是否有“自動運行”項，如有，在使用前用安天防線反病毒軟件掃描。

下周病毒預測：   

從本周的趨勢觀察，及據(jù)安天實驗室捕獲統(tǒng)計， 具有盜取能力的木馬類和感染能力的病毒和蠕蟲總體都有所上升，同時病毒類和蠕蟲類也會伴有竊取用戶信息的能力，提醒廣大用戶注意個人信息的保密，同時請用戶及時升級病毒庫，預防此類病毒侵襲。

專家預防建議：  

1.建立良好的安全習慣，不打開可疑郵件和可疑網(wǎng)站。   

2.不要隨意接收聊天工具上傳送的文件以及打開發(fā)過來的網(wǎng)站鏈接。   

3.使用移動介質(zhì)時最好使用鼠標右鍵打開使用，必要時先要進行掃描。   

4.現(xiàn)在有很多利用系統(tǒng)漏洞傳播的病毒，所以給系統(tǒng)打全補丁也很關(guān)鍵。   

5.安裝專業(yè)的防毒軟件升級到最新版本，并開啟實時監(jiān)控功能。   

6.為本機管理員帳號設(shè)置較為復雜的密碼，預防病毒通過密碼猜測進行傳播，最好是數(shù)字與字母組合的密碼。   

7.不要從不可靠的渠道下載軟件，因為這些軟件很可能是帶有病毒的。  

8.下載軟件后應(yīng)用使用安天防線反病毒軟件進行查殺，然后進行使用。