病毒及木马预警每周播报

lfspecter

近期，很多计算机用户操作系统中的浏览器IE的首页地址栏被强制修改为特定的网址（如www.****.com），并且计算机用户无法通过浏览器“Internet选项”来修改首页的设置。国家计算机病毒应急处理中心经过分析发现，这是一个能在微软操作系统上运行的一种新型病毒，它主要通过互联网上的一些恶意网站或是感染操作系统中EXE可执行文件来进行传播和感染用户计算机系统的。病毒感染计算机系统后，除了修改浏览器首页设置，使得用户无法恢复之外，该病毒还会造成某些计算机用户操作系统出现蓝屏或是死机现象，导致系统无法正常使用。同时，它还会终止操作系统中防病毒软件的进程，使得防病毒软件不能进行正常的病毒查杀工作。

  2006.11.27-2006.12.3

  最近一段时间，IE浏览器首页被篡改的现象出现较多，大多是在登录一些不正规的网站后出现，表面上看来是网站为了提高点击率而进行的修改，但实际上除了表面的更改，恶意程序会继续对计算机用户的操作系统形成进一步危害，如安装后门程序、进行黑客攻击、从指定服务器下载恶意程序安装到系统中等破坏行为，这种行为本身具有一定的隐蔽性，由于一些用户缺乏安全防范意识，因而此类恶意程序的感染始终难以杜绝。因此，我们建议计算机用户在今后上网浏览网页的时候提高警惕，将IE浏览器安全级别属性设置为“中”以上。

专家提醒：

    针对我们提到的上述病毒情况，国家计算机病毒应急处理中心提醒广大计算机用户注意：

1、对没有感染病毒的计算机用户，建议不要轻易浏览一些陌生的网站，同时对自己系统中的IE浏览器及时安装漏洞补丁程序，及时升级防病毒软件，上网浏览网页的时候打开防病毒软件的“实时监控”，特别是“网页/IE监控”功能。

2、对已经感染病毒的计算机用户，建议下载专杀工具或是IE浏览器修复工具进行查杀修复工作。

lfspecter

2006.12.4-2006.12.10

近期，很多计算机用户操作系统中的所有EXE可执行文件的图标都被自动地替换成“小熊猫”的图样，并且这些可执行文件无法点击运行，使得计算机系统中部分数据文件被修改，不能正常使用,严重危害计算机用户操作系统中数据的安全和完整性。

　　国家计算机病毒应急处理中心经分析发现，这正是在网络上流行的蠕虫“威金”的又一个新变种。该蠕虫变种在受感染的计算机系统中运行后，会在系统目录下释放两个可执行文件，同时在系统的每一分区根目录下释放一个安装可执行文件和自动运行配置文件。蠕虫变种可以利用微软的“自动播放”功能，只要计算机用户双击受感染系统中任意分区的盘符，变种就可以自动被启动激活。

　　另外，新变种和以往其他变种一样，会终止受感染操作系统中防病毒软件的进程和服务，使得防病毒软件无法正常工作，逃避防病毒软件对其进行的查杀。新变种会修改系统中注册表启动项的设置，使得自身会和受感染操作系统一同启动。

　　国家计算机病毒应急处理中心根据监测到的数据显示，目前蠕虫“威金”及其变种已经使得很多个人用户和企业用户的计算机系统遭受不同程度的损害。由于其变种出现的种类多，间隔时间短，给计算机用户的查杀工作带来一定的困难。

本周发作：

病毒名称：“求职信”（Worm_Klez.A）
病毒类型：电子邮件蠕虫病毒
发作日期：12月10日
危害程度：受到感染的计算机系统按照邮件地址簿中的邮件地址自动地向外发送带有病毒附件的邮件，同时破坏计算机系统上的数据，使得其无法正常使用，并且还会终止系统中防病毒软件的运行，并将其从计算机系统中删除。

专家提醒：

　　针对我们提到的上述蠕虫新变种的情况，国家计算机病毒应急处理中心提醒广大计算机用户注意：

1、对没有感染变种的计算机用户，应该及时升级系统中的防病毒软件，同时打开防病毒软件的“实时监控”功能。

2、对已经感染变种的计算机用户，建议尽快下载专杀工具进行查杀修复工作。

lfspecter

2006.12.11-2006.12.17

近期，很多计算机用户收到一些带有附件的病毒邮件，这些邮件附件的内容大多是大家比较关心的热点话题，诸如：房地产、汽车、明星等内容。如果计算机用户点击邮件的附件，就会受到病毒的感染。这种病毒伪装成邮件的附件，通过网络传播，并且由于内容是比较热点的，所以计算机用户会疏于防范，不慎点击就会受到病毒感染。

   该病毒感染计算机系统后，病毒文件会显示成为一个快捷方式图标，同时会彻底删除除计算机系统C盘之外的所有分区中的数据文件，造成计算机用户数据严重丢失。

   现在，病毒邮件的传播趋于多样化，特别是在邮件的附件上。病毒制造者通过一些比较吸引人关注的邮件主题和附件内容，诱使计算机用户轻易点击打开邮件及附件，从而达到传播和感染计算机用户系统的目的。因此，国家计算机病毒应急处理中心提醒广大计算机用户不要轻易点击打开陌生的邮件和邮件附件，同时在收取邮件的时候务必要打开系统中防病毒软件“实时监控”功能中的“邮件监控”功能，防止收取病毒邮件。

本周发作：

病毒名称：“杀手十三” （Worm_Killonce.A）
病毒类型：蠕虫病毒
发作日期：12月13日
危害程度：该蠕虫会在12月13日发作，计算机用户的操作系统一旦感染这种蠕虫，就会将受感染系统中的C盘根目录下的所有文件删除掉，造成计算机用户的数据文件丢失，因而受到严重的破坏。

专家提醒：

   针对我们提到的上述病毒的情况，国家计算机病毒应急处理中心提醒广大计算机用户注意：

1、对没有感染该病毒的计算机用户，应该及时升级系统中的防病毒软件，同时打开防病毒软件的“实时监控”功能中的“邮件监控”功能，防止收取病毒邮件。。

2、对已经感染病毒的计算机用户，建议尽快升级防病毒软件进行查杀病毒的工作；同时，通过数据恢复的方法尽量找回已被病毒删除掉的数据文件，避免受到更大的损失。

lfspecter

2006.12.18-2006.12.24

微软公司本周二发布了七个操作系统漏洞补丁程序，其中三个的危害级别为“高危”，并且这三个“高危”系统漏洞均可使恶意攻击者在远程控制受攻击的计算机系统并在其上执行任意代码。这三个“高危”漏洞分别存在于微软公司的三款软件之中，它们分别是微软浏览器IE、微软媒体播放器（Windows Media Player）和开发工具软件（Visual Studio 2005）。其余四个补丁程序分别针对微软视窗操作系统和微软电子邮件软件（Outlook）上存在的危害级别为“重要”的漏洞。

   以下列出三个危害级别为“严重”的系统漏洞补丁程序，提醒广大计算机用户注意，它们分别是：

（一） MS06-072：Microsoft Internet Explorer多个代码执行及信息泄露漏洞，Microsoft Internet Explore在实现上存在多个内存破坏及信息泄露的漏洞，远程恶意攻击者可以利用这些漏洞通过诱骗手段，使计算机用户打开一个事先设计好的恶意网页进而入侵控制计算机用户的操作系统。

（二） MS06-073：Microsoft Visual Studio控件代码执行漏洞，Microsoft Visual Studio是微软公司的开发工具套件系列软件。Visual Studio的控件在创建和处理代码上存在漏洞，恶意攻击者可以在远程利用此漏洞在计算机用户的操作系统上执行任意代码。

（三） MS06-060：Microsoft Windows Media可以远程任意执行指令漏洞，Microsoft Windows Media是微软公司开发的一种媒体播放器，它在处理一些文件时存在漏洞。如果计算机用户不慎浏览了一些经过恶意设置的网站或被诱骗打开包含有恶意内容的电子邮件，那么远程恶意攻击者可以在计算机用户的操作系统上执行任意指令，系统就会遭到入侵和破坏。

   我们提醒计算机用户及时下载安装这些系统安全漏洞补丁程序，特别是危害级别为“严重”的这三个补丁程序，阻止恶意攻击者利用这些漏洞进行攻击，保护好自己的计算机系统免受病毒的入侵破坏。

本周发作：

病毒名称：Worm_Surround.A
病毒类型：文件型蠕虫
发作日期：12月24日
危害程度：该蠕虫可以使微软公司的办公处理软件(Office Word)中的“宏病毒防护”功能失效，并且删除系统中的win.com文件，还会在计算机屏幕上显示以下信息：“You are now surrounded（你现在被包围了）”、“Virus Information（病毒信息）”。

专家提醒：

   近期病毒疫情相对比较稳定，传播范围广危害性大的病毒没有出现，但我们还是要提醒广大计算机用户不可以在此刻轻视病毒防护的每一个环节，包括防病毒软件、防火墙、计算机系统安全漏洞补丁程序等这些的及时下载升级，特别是补丁程序这个环节，对照以往的病毒发作情况来看，系统漏洞补丁程序已经成为病毒传播和入侵计算机系统的主要途径之一。

   因此建议计算机用户针对自己的操作系统的情况，尽快上网下载安装已经发布的安全补丁程序，将这一病毒传播入侵的缺口堵住，保护好自己的系统。

lfspecter

2006.12.25-2006.12.31

着圣诞节和元旦两大节日的临近，在互联网络上会出现大量以“圣诞快乐”、“元旦快乐”等信息为主题的病毒电子邮件出现。这些电子邮件的附件大部分是病毒，而且往往会伪装成图片、网页地址或是一个可执行的文件等形式，目的是诱使计算机用户点击运行。这些伪装成节日祝福的病毒电子邮件会在计算机用户没有察觉的情况下，入侵感染计算机系统，并且还会继续传播感染其他计算机用户的操作系统。此类信息往往通过聊天软件或电子邮件传播，可能给计算机用户带来严重的安全隐患。

   随着圣诞节和元旦的临近，包括网络钓鱼网站、电子邮件诈骗等方式的网络诈骗花样又开始变得猖獗。而这些骗术的本质，几乎都利用“中奖”、“免费抽奖”、“银行卡密码丢失”等理由，欺骗计算机用户掏钱，或者对自己的银行卡进行某些操作从而获取计算机用户的账户和密码。

专家提醒：

   近期病毒疫情相对比较稳定，传播范围广危害性大的病毒没有出现，由于临近两节预计木马和病毒活动会更加频繁，提醒广大计算机用户不可以在此刻轻视病毒防护的每一个环节，包括防病毒软件、防火墙、计算机系统安全漏洞补丁程序等这些的及时下载升级，特别是两节期间可能会出现大量邮件病毒，建议大家一定要将杀毒软件中针对邮件的监控功能，以减少病毒感染的可能性。

lfspecter

2007.1.8-2007.1.14

通过对互联网络的监测发现，一伪装成“熊猫烧香”图案的蠕虫正在互联网上进行传播，已有很多企业局域网遭受该蠕虫的感染。国家计算机病毒应急处理中心分析发现，该蠕虫为“威金”蠕虫的又一个新变种。该变种感染计算机系统后，可使系统中所有可执行（后缀名为.exe）文件都变成了一种奇怪的图案，该图案显示为“熊猫烧香”，同时受感染的计算机系统会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。变种可以通过局域网进行传播，进而感染局域网内所有计算机系统，最终导致整个局域网瘫痪，无法正常使用。

  另外，由于前些天我国台湾地区发生强烈地震，造成计算机用户访问境外网站困难，同时一部分使用国外防病毒软件的计算机用户也无法顺利升级其病毒代码库。对于这种突发情况，国内的防病毒厂商（瑞星公司、江民公司、金山公司）推出一个月免费版本的防病毒软件供计算机用户下载使用，来应对这次突发事件。如果计算机用户遇到此类情况，可以登陆这些病毒厂商的官方网站去下载安装免费的杀毒软件来进行病毒查杀。

本周发作：

病毒名称：“欢乐时光”（VBS_Happytime）
病毒类型：脚本类病毒
发作日期：1月12日
危害程度：病毒感染计算机系统后，会主动向外发送带有病毒附件的电子邮件，并在该日删除受感染计算机系统硬盘中的可执行（后缀名为.exe）文件和动态连接库(后缀名为.dll)文件。

病毒名称：“求职信”变种（Worm_Klez.C）
病毒类型：电子邮件蠕虫病毒
发作日期：1月13日
危害程度：该蠕虫感染计算机系统后，它会利用邮件系统自动向外发送带毒邮件，同时在13日这一天用垃圾数据覆盖计算机系统中的有效数据文件。蠕虫还会终止受感染计算机系统中防病毒软件的运行，并将其从系统中删除掉。

专家提醒：

   针对我们提到的上述蠕虫新变种的情况，国家计算机病毒应急处理中心提醒广大计算机用户注意：

1、对没有感染变种的计算机用户，应该及时升级系统中的防病毒软件，同时打开防病毒软件的“实时监控”功能。

2、对已经感染变种的计算机用户，建议尽快下载专杀工具进行查杀修复工作。

lfspecter

2007.1.22-2007.1.28

国家计算机病毒应急处理中心通过对互联网的监测发现，前不久一伪装成“熊猫烧香”图案的蠕虫正在对一些企业内部局域网和互联网络上Web网站造成危害，我们提醒广大企业和访问这些Web站的计算机用户应提高警惕注意防范。

   蠕虫感染计算机系统后，会在计算机系统硬盘各个分区下生成自动运行配置文件（autorun.inf）和安装文件（setup.exe），并且可以通过U盘、移动硬盘、共享文件夹、系统弱口令等多种方式进行传播，还会利用Windows系统的自动播放功能来执行。

   该蠕虫感染计算机系统中的可执行文件（后缀名为.exe）和其他类型文件（其中包括网页文件）。蠕虫会在受感染的计算机系统中所有网页文件（后缀名为.html）尾部添加病毒代码，如果一些网站编辑人员的计算机系统被该蠕虫感染，没有及时进行查杀处理，一旦把带有该病毒代码的网页文件上传到网站上，就会导致浏览这些网站的计算机用户被蠕虫感染。

   蠕虫除了通过Web网站感染计算机用户之外，还会在一些企业内部局域网中迅速传播，在极短时间之内就可以感染很多台计算机系统，受感染的计算机系统会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象，最终导致整个局域网络瘫痪，无法正常工作。

本周发作：

病毒名称：CIH v1.4
病毒类型：文件型病毒
发作日期：1月26日
危害程度：病毒会用一些随机数据覆盖受感染计算机系统硬盘，一旦数据遭受破坏，恢复起来比较困难。病毒还试图将垃圾数据存储到受感染计算机系统快闪BIOS中，从而对系统形成永久性破坏。该病毒不会感染Windows NT系统。

专家提醒：
 
    针对上述情况，我们建议计算机用户采取以下防范措施：

（一）计算机用户在上网时务必不要随意点击不明的网页地址链接。

（二）计算机用户在浏览网站时，务必打开计算机系统中防病毒软件的“网页监控”功能。

（三）由于蠕虫攻击计算机系统使用弱口令以及利用微软自动播放功能，因此建议计算机用户给计算机系统设置复杂一些的登陆密码，并暂时关闭微软“自动播放”功能。

lfspecter

2007.3.5-2007.3.11

国家计算机病毒应急处理中心发现，微软公司在这个月发布例行漏洞补丁程序之后，又出现其办公文字处理软件Office 2007以及浏览器IE 7.0存在严重的漏洞，由于距离下次微软公司的补丁程序的发布还有一段时间，这有可能给恶意攻击者入侵感染计算机系统带来一定的机会。

    另外，近期在互联网络上出现了一些针对计算机系统漏洞进行主动攻击的工具包，其中包括对指定计算机系统漏洞进行扫描以及攻击的代码。这些代码可以攻击入侵没有对操作系统漏洞进行及时更新的计算机系统，造成计算机系统无法正常使用。同时在互联网络上还出现可以主动攻击多个计算机系统漏洞的专用工具，该工具可以进行手动配置。一旦让恶意攻击者掌握并使用该工具，他可以根据自己的需要配置相应的攻击代码，以攻击不同的操作系统和系统存在的漏洞，对计算机用户操作系统的安全使用带来威胁。

本周发作：

病毒名称：“礼物”（Worm_Gift.B）
病毒类型：电子邮件蠕虫
发作日期：3月5日
危害程度：蠕虫通过电子邮件进行传播，感染计算机系统后，会在3月5日这一天在系统中显示以下信息 “I-Worm.RunDllw32 Activated This is a I-Worm coded by Bumblebee\29a! Gretingz to all 29a members ;)”。

专家提醒：

    针对上述情况，国家计算机病毒应急处理中心建议广大计算机用户：

1、使用微软公司浏览器IE 7.0版本的计算机用户要注意防范，尽量减少浏览一些陌生的网站，并将浏览器的安全属性值设为“中”级。一旦微软公司公布漏洞补丁程序，要立即下载安装。

2、由于针对操作系统windows补丁程序的攻击代码以及专用工具在互联网络上的出现，我们建议广大计算机用户，微软公司发布过的系统漏洞补丁程序一定要及时下载安装，防止恶意攻击者利用这些代码和专用工具对操作系统进行破坏。

lfspecter

3.12-3.18

国家计算机病毒应急处理中心发现，近期在互联网络上出现了在视频剪辑（RMVB）文件中夹带恶意网页木马的现象。如果计算机用户在线或是下载播放这些带有恶意网页木马的视频剪辑文件，用户的计算机系统就会受到恶意木马的入侵感染，使得操作系统无法正常使用。

    目前，恶意木马程序发展得更具有针对性，技术含量更高，并且具有相当强的隐蔽性。 视频剪辑文件中夹带恶意网页木马程序，使得计算机用户难以发现，隐蔽性很强，操作系统被感染后没有明显的被恶意木马程序入侵的现象，点击或是下载播放的同时计算机系统即被感染。因此，计算机用户在播放这些视频剪辑文件的时候，要小心谨慎，打开系统中防病毒软件的“实时监控”功能，防止恶意网页木马程序的破坏。

专家提醒：

    针对上述情况，国家计算机病毒应急处理中心建议广大计算机用户：

1、计算机用户要尽量避免在陌生网站上在线观看一些视频剪辑文件，最好下载并检查没有问题后再观看。

2、计算机用户使用媒体过滤器，它是一个可以解决这些视频网页木马问题的有效工具之一。它既可以清除这些视频文件中的多余信息以及减小视频文件的大小，还可以清除掉其中携带的恶意网页木马信息。

lfspecter

3.19-3.25

近期,微软公司Windows操作系统软件中出现了新的漏洞，该漏洞存在于一个动态连接库文件（文件名：OLE32.DLL）中，它是Windows操作系统中重要的组件。这个新出现的漏洞可以造成计算机系统崩溃，如果计算机用户在系统崩溃后重新启动操作系统将可以恢复正常使用，但是系统中没有及时存储的数据将会丢失，无法恢复。

    如果恶意攻击者利用了这个动态连接库文件（OLE32.DLL）存在的这个漏洞，制作一个特定的恶意Word文件。那么一旦计算机用户在互联网络上下载并打开该恶意文件或者打开带有该恶意文件作为附件的电子邮件，计算机系统中连接到该动态连接库的软件就会出现崩溃的现象，导致软件无法被使用。

    由于微软公司的软件不断爆出新的漏洞，目前已成为恶意攻击者关注的目标之一，攻击新漏洞的代码出现速度也越来越快。因此，我们建议广大计算机用户，及时关注微软公司的官方网站，一旦新的漏洞补丁程序发布出来，应及时下载安装，防止计算机系统感染到利用这些漏洞进行传播的病毒。

专家提醒：

    目前，微软公司正在对该漏洞进行分析研究，广大计算机用户可以关注微软公司的官方网站，随时了解关于这个漏洞的最新动态，一旦漏洞补丁程序发布出来，要及时下载安装。