病毒及木马预警每周播报

lfspecter

2006.04.17－04.23

波特病毒变种频出 小心电脑成“僵尸”

本周新出现了上百个波特类病毒的变种。用户的计算机感染此类病毒后，可被黑客远程控制，组成“僵尸网络”。同时，用户的帐号、密码及其它隐私信息都有可能被黑客窃取。

本周关注病毒：波特后门变种KVQ（Backdoor.SdBot.kvq） 警惕程度★★★☆

这是“波特后门”病毒的最新变种。它集黑客，蠕虫，后门功能于一体，通过局域网共享目录和系统漏洞进行传播。它会在注册表中写入自身以实现随系统启动自动运行。该后门程序运行后会连接特定IRC服务器的特定频道，接受黑客远程控制命令。它还会扫描局域网内的其他计算机并猜测共享密码。该操作会占用大量网络带宽资源，使网络速度减慢，甚至造成企业网络阻塞。

专家建议：

建议用户安装最新版本的杀毒软件，并开启实时监控查杀此病毒。由于该类病毒对局域网络影响较大，建议企业用户安装网络版杀毒软件进行防范。

lfspecter

2006.04.24－04.30

全球首个双系统病毒被截获 未来可能出现新变种

本周应特别注意“Bi病毒（Parasite.Bi）”。它可以同时感染两种操作系统下的可执行文件，是全球第一个真正意义上的Windows/Linux双系统病毒。

本周关注病毒：Bi病毒（Parasite.Bi） 警惕程度★★★☆

采用汇编语言编写，通过感染可执行文件传播。病毒运行后将搜寻当前目录下全部可执行文件，并试图感染它们。尽管目前该病毒为实验性病毒，破坏能力有限，但编写者已经在网上公布了它的源代码，通过对源代码的研究，黑客们可能编写出危害性更强的跨平台病毒。

专家建议：

有很多Linux、Mac OS（苹果操作系统）用户直到现在仍抱有“病毒只限于Windows用户”的观点，而对于操作系统的安全防护缺乏应有的重视，此病毒的出现意味着非Windows用户，也将面临着严重威胁。

查杀方法：

请广大用户及时升级手中的瑞星杀毒软件2006版或下载版到18.24版本。没有安装杀毒软件的朋友可以登陆http://online.rising.com.cn使用瑞星在线杀毒清除病毒，同时可拨打反病毒急救电话010-82678800寻求帮助。



信息源:瑞星公司

lfspecter

病毒预报 （2006.6.5-2006.6.11）

近期病毒疫情一直保持一个比较平稳的态势，但是提醒计算机用户还是不要掉以轻心，做好病毒的防护措施，及时升级杀毒软件和防火墙。计算机用户还要对自己的计算机系统的安全漏洞补丁程序要及时下载安装，防止受到网络上恶意攻击者的攻击入侵，导致计算机瘫痪无法使用。

计算机用户还要对一些流行时间很长传播范围广的病毒，如邮件蠕虫、黑客木马等加强防范。这些流行蠕虫、黑客木马变种出现的很多，但其传播机理和感染的方式一般都不会变。因此，国家计算机病毒应急处理中心提醒广大用户，升级杀毒软件，开启“实时监控”和“邮件监控”功能，同时关注他们的最新发展动态，了解其基本特征，当遭受其感染的时候，立即采取有效措施，断开网络，进行病毒的清除。最大程度降低病毒感染后形成的破坏。

专家提醒：

1、由于邮件病毒的特征较为鲜明，信体内容为空或有简短的英文，并带有带毒附件。还请用户了解病毒邮件的基本特征，并谨慎处理，尤其对邮件的附件，不要随便运行。

2、提醒广大计算机用户升级杀毒软件，启动“实时监控”和“个人防火墙”，做好预防工作。

3、计算机一旦遭受病毒感染应首先断开网络（包括互联网和局域网），再进行病毒的检测和清除，避免病毒大范围传播，造成更严重的危害。


国家计算机病毒应急处理中心
计算机病毒防治产品检验中心
网 址：Http://www.antivirus-China.org.cn
电　　话：022-66211488/66211489/66211490 转 8017
传　　真：022-66211487
电子邮件：sos@antivirus-China.org.cn
contact@antivirus-china.org.cn

lfspecter

2006.7.10-2006.7.16

早前几天出现了困扰计算机用户的木马恶意程序之后，近期又恢复到比较稳定的一个状态中，没有新的病毒疫情出现，因此，计算机用户在近一段时间里的病毒防范主要是早前出现的蠕虫、恶意木马，做好操作系统内防病毒软件的升级工作，了解这些蠕虫和木马程序的基本特性，加强防御意识。

这周时间里微软公司又一次发布了几个的操作系统漏洞补丁程序，其中一个补丁程序值得引起计算机用户的注意。它是：微软视窗浏览器可执行文件的统一资源定位器（简称：URL）文件格式溢出漏洞, Windows的Shell程序浏览器文件在处理包含畸形数据的统一资源定位器（.url）文件时存在问题，恶意攻击者可能利用此漏洞导致计算机用户操作系统上的浏览器可执行文件的进程频繁崩溃。即使计算机用户重新启动操作系统的浏览器进程，进程还是会不断地重复崩溃，直到另一个能够完全遮盖住桌面的窗口被打开。

另外，微软公司将会在下周的时间里发布7个操作系统补丁程序，其中4个是有关微软视窗操作系统的，3个是有关微软办公文字处理软件的。在这7个漏洞补丁程序中，至少有2个补丁程序被微软公司定义为是“高危”级别。因此，国家计算机病毒应急处理中心提醒计算机用户留意下周微软公司发布的这几个系统漏洞补丁程序，一旦发布立即下载安装，防止恶意程序对计算机系统的入侵破坏。

通过对网络的监测发现，当前很多病毒还是通过邮件进行传播，邮件蠕虫成为垃圾邮件的主要组成部分，请计算机用户在收取邮件的时候提高警惕。

专家提醒：

1、加强对网络进行安全检查，及时发现受感染的系统，防止计算机系统内的信息被盗区。

2、计算机一旦遭受病毒感染应首先断开网络（包括互联网和局域网），再进行病毒的检测和清除，避免病毒在更大范围内传播，造成更严重的危害。由于邮件病毒的特征较为鲜明，信体内容为空或有简短的英文，并带有带毒附件。还是请用户了解病毒邮件的基本特征，并谨慎处理，尤其对邮件的附件，不要随便运行。

3、提醒广大计算机用户升级杀毒软件，启动“实时监控”和“个人防火墙”，做好预防工作。

4、可以启动邮件客户端程序的反垃圾邮件功能，这样也可以有效阻止新型邮件蠕虫，与反病毒软件配合使用，提高反病毒的能力。

lfspecter

2006.7.17-2006.7.23

近期病毒疫情比较平稳，没有出现传播范围广、破坏力强的病毒，对计算机用户危害性强的病毒还是一些老的流行时间长的。针对这种情况，建议计算机用户及时升级防火墙和杀毒软件，并且了解一些流行病毒的基本特性和处理方法，对病毒的防护和清除起到一定的辅助作用。

这周时间微软公司如期地发布了上周提及到的七个漏洞补丁程序，其中五个被定义为“严重”危害级别，另外两个被定义为“重要”危害级别安全漏洞。危害级别“严重”的五个安全漏洞分别存在于Windows视窗操作系统和Office办公处理软件中，一旦被恶意攻击者利用，很有可能导致计算机系统被操控，系统无法正常使用。

这五个危害级别“严重”的漏洞补丁值得计算机用户注意，他们分别为：

（一） MS06-035 ：Microsoft Windows Server驱动内存信息泄露漏洞，Microsoft Windows的Server协议驱动在创建消息回应时存在漏洞，可能导致某些服务器内存信息泄露。如果恶意攻击利用这个漏洞，他很有可能获得被攻击计算机用户系统中某些内存内的敏感信息。

（二） MS06-036 ：Microsoft Windows DHCP客户端服务远程溢出漏洞，Microsoft Windows的DHCP（动态主机配置协议）客户端实现上存在缓冲区溢出漏洞，恶意攻击者可能利用此漏洞在客户端上的计算机系统上执行任意恶意指令，造成计算机系统崩溃。

（三） MS06-037 ：Microsoft Excel远程代码执行漏洞，Microsoft Excel存在远程代码执行漏洞，成功利用此漏洞的攻击者可以完全控制客户端上的计算机系统，并可随后安装程序；查看、更改或删除数据；或者创建拥有完全用户权限的新帐户。

（四） MS06-038 ：Microsoft Office远程代码执行漏洞，Microsoft Office在处理畸形Office文件时存在漏洞，远程恶意攻击者可能利用此漏洞在用户的计算机系统上执行任意指令。

（五） MS06-039 ：Microsoft Office畸形GIF图形缓冲区溢出漏洞，Microsoft Office的GIF过滤器实现上存在缓冲区溢出漏洞，远程恶意攻击者可能利用此漏洞在用户计算机系统上执行任意指令。

因此，国家计算机病毒应急处理中心建议计算机用户及时下载安装这七个补丁程序。同时，在今后的时间里多注意系统漏洞补丁的发布，一旦公布要立即下载安装，防止利用系统漏洞来进行传播的病毒有可趁之机。

专家提醒：

1、计算机一旦遭受病毒感染应首先断开网络（包括互联网和局域网），再进行病毒的检测和清除，避免病毒在更大范围内传播，造成更严重的危害。由于邮件病毒的特征较为鲜明，信体内容为空或有简短的英文，并带有带毒附件。还是请用户了解病毒邮件的基本特征，并谨慎处理，尤其对邮件的附件，不要随便运行。

2、提醒广大计算机用户升级杀毒软件，启动“实时监控”和“个人防火墙”，做好预防工作。






　　　　
国家计算机病毒应急处理中心
计算机病毒防治产品检验中心
网 址：Http://www.antivirus-China.org.cn
电　　话：022-66211488/66211489/66211490 转 8017
传　　真：022-66211487
电子邮件：sos@antivirus-China.org.cn
contact@antivirus-china.org.cn

lfspecter

近期，国内发现的一个带有感染文件特征的盗号病毒。该病毒会释放窃取网络游戏的模块，使玩家的账号、密码等资料被窃取。跟其它的盗号病毒不同的是，该病毒会搜索计算机系统上所有正在运行的文件程序并修改计算机系统内部的关键指令，使用户在被感染病毒的计算机系统上运行任何程序都会遭受到病毒的感染，加大了病毒的清除难度。

另外，微软公司的Office办公软件PowerPoint又出现严重的漏洞问题。前不久，微软公司曾发布了漏洞补丁程序（MS06-048：Microsoft PowerPoint畸形记录处理代码执行漏洞），它专门是针对7月份出现的Microsoft PowerPoint漏洞的，可是现在新的Microsoft PowerPoint漏洞又被发现。这是最近3个月以来，Office办公处理软件系列产品被发现的第4个严重漏洞了。它很有可能被恶意攻击者利用，制作出一些恶意的PowerPoint幻灯片文档来传播恶意程序，感染和破坏存在此漏洞的计算机系统。

目前，关于最新Microsoft PowerPoint漏洞的详细资料还没有被公开，微软还没有对此漏洞发布官方消息，也没有任何针对此漏洞的补丁发布。但国家计算机病毒应急处理中心还是提醒广大计算机用户密切关注该漏洞的事态发展，一旦微软公布立即下载安装。

因此，在这期间计算机用户尽量不要随意下载打开来历不明的PowerPoint文档，以免受到病毒或恶意程序的侵害。

专家提醒：

针对这个盗号病毒建议从以下三方面进行防范：

1、安装防病毒软件并及时升级病毒库，同时打开实时监控功能避免病毒入侵。

2、定期对计算机系统进行全面的磁盘查毒工作。

3、给计算机系统安装带有防木马功能的个人防火墙软件，防止账号、密码被窃取。

lfspecter

通过对互联网的监测发现一个恶意木马Trojan_DL.delf.cxw正在互联网上传播，该木马程序可以自动将计算机用户操作系统中的IE浏览的首页篡改为一个固定的网址，并且计算机用户很难再修复好浏览器的主页设置。

该木马程序运行后将自身复制到计算机系统目录下，是一个视频播放可执行程序和一个压缩文件，并释放一个动态连接库文件，而且这些文件都和浏览器可执行进程捆绑在一起，使自己有更强的隐蔽性和自我保护性，受感染的计算机用户很难清除该木马程序。
　　国家计算机病毒应急处理中心提醒广大计算机用户，近期一些间谍软件、商业木马逐步在威胁着计算机用户，一些网站可能通过一些恶意的方式，将网址与一些恶意木马程序或某些软件进行关联，诱骗计算机用户浏览下载，从而实现攻击破坏计算机系统的恶意行为。

因此，我们建议大家及时升级操作系统中的防病毒软件和防火墙，同时要在打开防病毒软件的实时监控功能的情况下下载这些软件，防止恶意木马程序伺机攻击破坏计算机系统。

另外，微软公司的办公处理软件office word 2000存在一个远程执行代码的漏洞，可能会被一些恶意木马程序利用来入侵计算机系统，但是该漏洞微软公司尚未提供补丁程序，提醒计算机用户在补丁程序未公布之前，不要轻易打开来历不明的word文档，以防止恶意木马的破坏，并且密切关注微软公司对该漏洞补丁程序的发布，一旦公布立即下载安装。

专家提醒：

针对感染该恶意木马程序的计算机用户采取以下方法：

1、操作系统进入安全模式，找到并删除系统目录下的木马释放的那些文件，同时删除系统注册表项里添加的有关键值项，将浏览器IE的首页设置恢复即可。

2、升级更新系统中的防病毒产品，查杀即可。

lfspecter

2006.11.6-2006.11.12

近日，木马（Trojan_DL.delf）出现新变种，该变种在受感染的计算机系统中运行后，将其自身伪装成计算机系统的正常文件存于系统目录中，使得计算机用户很难察觉到，并通过互联网络从指定网站或是服务器上下载恶意程序，同时修改计算机用户浏览器的设置，使其访问浏览网页时会转向浏览指定的恶意网站。并且，该变种还会在计算机用户操作系统中的桌面、开始菜单、快速启动栏、收藏夹等位置上添加一些网站的广告信息，给计算机用户的正常操作带来不便。

    另外，近期在互联网络上专门盗取用户网络游戏账号、密码的木马程序传播比较严重。该木马程序专门窃取网络游戏玩家的信息（如：账号、密码、服务器信息等）并发送给植入木马程序的攻击者。我们建议网络游戏的玩家在上网时务必升级自己系统中的防病毒软件，打开防病毒软件的实时监控功能。

专家提醒：

   针对上述木马新变种情况，我们建议计算机用户采用如下防范措施：

1、请不要轻易点击运行从互联网上下载后未经防病毒软件处理过的程序文件，最好建议计算机用户先用升级过的防病毒软件对下载地程序文件进行扫描，然后再点击运行它。

2、计算机用户在浏览网页的时候，将操作系统浏览器的安全级别设置为高，同时打开防病毒软件的实时监控功能。

lfspecter

2006.11.13-2006.11.19

近期，计算机病毒疫情较为平稳，传播范围广、危害性强的病毒疫情没有出现过。一些企业和计算机个人用户受到病毒危害比较集中在蠕虫和木马程序上，这些蠕虫和木马程序大多出现的变种很多，有的会在短时间内就出现很多新变种，让计算机用户防范起来十分困难，措手不及。

    另外，微软公司会在下周二发布六个操作系统的漏洞补丁程序，这些补丁程序多数是修复Windows操作系统中存在的漏洞隐患，还有会修复微软公司的XML（一种标识语言）语法分析器中存在的漏洞。值得注意的是在互联网络上有些恶意攻击者已经公布了XML的代码，一旦被攻击者利用，将会利用XML语法分析器中的这个漏洞在计算机用户的操作系统上运行非法的恶意程序，破坏系统的正常使用。

    因此，国家计算机病毒应急处理中心提醒广大计算机用户下周留心微软公司发布的这几个操作系统漏洞补丁程序，特别是针对微软公司XML语法分析器漏洞的补丁程序。一旦漏洞补丁程序发布出来，立即下载安装。

专家提醒：

    针对上述蠕虫和木马程序出现新变种的情况，我们建议计算机用户采用如下防范措施：

1、请不要轻易点击运行从互联网上下载后未经防病毒软件处理过的程序文件，最好建议计算机用户先用升级过的防病毒软件对下载地程序文件进行扫描，然后再点击运行它。

2、计算机用户在浏览网页的时候，将操作系统浏览器的安全级别设置为高，同时打开防病毒软件的实时监控功能。

lfspecter

2006.11.20-2006.11.26

本周微软公司发布了六个操作系统的漏洞补丁程序，其中五个补丁程序的危害级别为“严重”，另一个为“重要”。这五个危害级别“严重”的系统漏洞补丁程序有四个是针对Windows操作系统上存在的漏洞。在这五个“严重”的补丁程序中以下三个提醒计算机用户注意，它们分别是：

（一）MS06-067：Internet Explorer 积累性补丁，微软浏览器Internet Explorer存在漏洞，恶意攻击者可能利用此漏洞在计算机用户系统上执行任意程序。如果这些计算机用户在浏览互联网络上某些网页时，可能会导致自己计算机系统IE浏览器崩溃，进而导致无法正常使用浏览器。

（二）MS06-070：Microsoft Windows Workstation 可远程执行代码漏洞，Microsoft Windows的Workstation（工作站）服务组件中存在栈溢出漏洞，恶意攻击者可能利用此漏洞在计算机用户服务器上执行任意程序。

（三）MS06-071：Internet Explorer XML中可能允许远程执行代码漏洞，微软公司的浏览器Internet Explorer XML（一种标识语言）语法分析器中存在漏洞。恶意攻击者可以通过构建特制的网页来利用此漏洞，如果计算机用户访问该网页或单击恶意攻击者发来的电子邮件中的网址链接，该漏洞就可能允许恶意攻击在计算机用户的系统上远程执行任意代码程序，成功利用此漏洞的攻击者可以完全控制受影响的计算机系统。

专家提醒：

    针对我们提到的上述提到的三个注意的漏洞补丁程序，根据以往的经验来看，这几个重要的漏洞补丁程序很可能会被恶意攻击者利用来进行病毒传播。用户不可以忽视它们，大家要根据自己的系统情况尽快地下载安装这个补丁程序，防止类似的利用系统漏洞进行恶意攻击现象的发生。