表1

【51CTO.com 綜合消息】本周第一位：   

Worm/Win32.AutoIt.r該病毒運行后，獲取kernel32.dll基址，動態(tài)獲取大量API函數(shù)地址，動態(tài)加載系統(tǒng)庫文件uxtheme.dll，調(diào)用該庫文件的"IsThemeActive"函數(shù)，獲取系統(tǒng)版本號，動態(tài)加載系統(tǒng)庫文件kernel32.dll，調(diào)用該庫文件的IsWow64Process函數(shù)，查看操作系統(tǒng)是32位還是64位，獲取系統(tǒng)版本信息之后釋放到kernel32.dll,試圖更改桌面壁紙，檢測是否被處理調(diào)試狀態(tài)，如果是則調(diào)用MessageBox彈出以下信息："This is a compiled AutoIt script. AV researchers please email avsupport@autoitscript.com for support."，調(diào)用SHGetDesktopFolder函數(shù)獲得桌面文件夾的IShellFolder接口，注冊一個窗口類名"AutoIt v3 GUI"及消息句柄"TaskbarCreated"，完成之后創(chuàng)建隱藏的窗口，調(diào)用函數(shù)創(chuàng)建一個WORD圖標(biāo)的托盤，調(diào)用函數(shù)進入消息循環(huán)一直到接收到WM_NULL則跳出循環(huán)，拷貝自身到%System32%目錄下備份多個病毒副本，分別重命名為fjwfbnyobd.exe、bomlfdbivbryevg.exe、iabzajxe.exe、ogwcoyjfpfnjn.exe（全部為隨機病毒名），并將屬性全部隱藏，在%System32%目錄下創(chuàng)建一個名為mydoc.rtf的WORD文件，調(diào)用函數(shù)創(chuàng)建大量病毒進程，循環(huán)打開多個mydoc.rtf文件，使系統(tǒng)速度大大下降，該病毒一旦運行之后將無法結(jié)束其進程直到系統(tǒng)資源耗盡導(dǎo)致死機。

重點關(guān)注：

Trojan/Win32.Magania.bijt[Stealer]。該惡意代碼文件為機戰(zhàn)游戲盜號木馬，病毒運行后先刪除預(yù)創(chuàng)建的病毒文件然后創(chuàng)建同名病毒文件分別復(fù)制到%System32%與%Windir%\fonts目錄下，動態(tài)加載comres.dll系統(tǒng)庫文件并釋放掉模塊句柄"hLibModule = 77020000"，動態(tài)加載sfc_os.dll系統(tǒng)庫文件調(diào)用該庫文件的#5序號函數(shù)去掉對comres.dll文件的保護，將comres.dll改名為dfc8ac3ed7da.dll，拷貝病毒DLL文件改名為comres.dll，調(diào)用病毒自定義的"jufndb4parsj"模塊來提升進程權(quán)限，試圖將病毒DLL注入到所有進程中，遍歷激活狀態(tài)的圖片和傳真、acdsee、記事本的窗體，找到后截取窗體內(nèi)容以.jpg格式保存到臨時目錄下，添加注冊表CLSID值及HOOK啟動項，刪除系統(tǒng)目錄下的verclsid.exe文件，每隔1000ms讀取注冊表病毒鍵值是否存在如被刪除則馬上添加，防止病毒注冊表項被刪，安裝消息鉤子截取游戲賬號密碼以URL方式發(fā)送指定地址中，運行完畢后刪除原病毒體文件。

專家建議：  

1.在任務(wù)管理器中查看是否有陌生以及可疑的進程存在。  

2.安裝安天防線反病毒軟件。  

3.及時打全系統(tǒng)補丁。   

4.及時關(guān)注各種應(yīng)用軟件的漏洞并及時更新到應(yīng)用軟件的最新版本。   

5.在需要輸入游戲賬號信息時，打開安天防線反病毒軟件的實時監(jiān)控功能。  

6.注意經(jīng)常更新安天防線反病毒軟件的病毒庫來阻止被病毒感染。

手動查殺方法：

針對以上病毒，其病毒變種非常之多。其應(yīng)用技術(shù)各不相同所以沒有一個固定的手動查殺方法， 只能告訴用戶一些基本的殺毒方法,針對微軟XP用戶：

1.斷開網(wǎng)絡(luò)連接，進行以下操作。

2.在“運行”中輸入“msconfig”分別點擊“啟動”與“服務(wù)”標(biāo)簽。

3.查看是否有陌生程序的啟動項，有則找到對應(yīng)位置，使用安天防線反病毒軟件查殺或手動刪除。

4.打開“文件夾選項”中的查看隱藏文件等選項，這樣可以看到隱藏的病毒體。如看不到隱藏文件表明注冊表中顯示隱藏文件項被修改，解決辦法使用安天防線反病毒軟件掃描或者手動修改。

5.對于使用移動設(shè)備時，請先用右鍵點擊查看，是否有“自動運行”項，如有，在使用前用安天防線反病毒軟件掃描。

下周病毒預(yù)測：   

從本周的趨勢觀察，及據(jù)安天實驗室捕獲統(tǒng)計，具有盜取能力的木馬類和感染能力的病毒和蠕蟲總體都有所上升，同時病毒類和蠕蟲類也會伴有竊取用戶信息的能力，提醒廣大用戶注意個人信息的保密，同時請用戶及時升級病毒庫，預(yù)防此類病毒侵襲。

專家預(yù)防建議：  

1.建立良好的安全習(xí)慣，不打開可疑郵件和可疑網(wǎng)站。   

2.不要隨意接收聊天工具上傳送的文件以及打開發(fā)過來的網(wǎng)站鏈接。  

3.使用移動介質(zhì)時最好使用鼠標(biāo)右鍵打開使用，必要時先要進行掃描。   

4.現(xiàn)在有很多利用系統(tǒng)漏洞傳播的病毒，所以給系統(tǒng)打全補丁也很關(guān)鍵。   

5.安裝專業(yè)的防毒軟件升級到最新版本，并開啟實時監(jiān)控功能。   

6.為本機管理員帳號設(shè)置較為復(fù)雜的密碼，預(yù)防病毒通過密碼猜測進行傳播，最好是數(shù)字與字母組合的密碼。   

7.不要從不可靠的渠道下載軟件，因為這些軟件很可能是帶有病毒的。  

8.下載軟件后應(yīng)用使用安天防線反病毒軟件進行查殺，然后進行使用。