病毒及木马预警每周播报

lfspecter

 

 本周病毒动态分析

   通过对以上监测结果分析，这周危害计算机用户的以木马程序、蠕虫为主，排位略有变化。

   提醒广大计算机用户做好网络安全和病毒的防范工作，及时升级防病毒软件和防火墙，一定要打开防病毒软件的“实时监控”功能。
建议可以采用以下病毒防范措施：

1、针对蠕虫“威金”新变种的情况，我们提醒广大计算机用户注意：对没有感染变种的计算机用户，应该及时升级系统中的防病毒软件，同时打开防病毒软件的“实时监控”功能；对已经感染变种的计算机用户，建议尽快下载专杀工具进行查杀修复工作，可以登陆网站：
http://www.antivirus-china.org.cn/content/Worm_Viking.htm查阅。。

2、

对于感染“魔波”（Worm_Mocbot.A）的计算机用户，提醒用户及 时升级杀毒软件，或可以登陆网站：
http://www.antivirus-china.org.cn/content/Worm_Mocbot.A.htm查阅。

3、对于感染“网络天空”的新变种Worm_Netsky.D病毒的计算机用
户，提醒用户及时升级杀毒软件，或可以登陆网站：
http://www.antivirus-china.org.cn/content/Worm_Netsky.D.htm查阅。

4、对于感染Worm_Mytob.X蠕虫的计算机用户，提醒用户及时升级
杀毒软件，或可以登陆网站：
http://www.antivirus-china.org.cn/content/Worm_Mytob.X.htm查阅。

5、发现网络和系统异常，及时与国家计算机病毒应急处理中心或防病毒厂家联系。

1、针对蠕虫“威金”新变种的情况，我们提醒广大计算机用户注意：对没有感染变种的计算机用户，应该及时升级系统中的防病毒软件，同时打开防病毒软件的“实时监控”功能；对已经感染变种的计算机用户，建议尽快下载专杀工具进行查杀修复工作，可以登陆网站：
http://www.antivirus-china.org.cn/content/Worm_Viking.htm查阅。。

2、

对于感染“魔波”（Worm_Mocbot.A）的计算机用户，提醒用户及 时升级杀毒软件，或可以登陆网站：
http://www.antivirus-china.org.cn/content/Worm_Mocbot.A.htm查阅。

3、对于感染“网络天空”的新变种Worm_Netsky.D病毒的计算机用
户，提醒用户及时升级杀毒软件，或可以登陆网站：
http://www.antivirus-china.org.cn/content/Worm_Netsky.D.htm查阅。

4、对于感染Worm_Mytob.X蠕虫的计算机用户，提醒用户及时升级
杀毒软件，或可以登陆网站：
http://www.antivirus-china.org.cn/content/Worm_Mytob.X.htm查阅。

5、发现网络和系统异常，及时与国家计算机病毒应急处理中心或防病毒厂家联系。

lfspecter

3.26-4.1

　国家计算机病毒应急处理中心通过互联网监测发现，近期一些局域网中的计算机系统受到一种“地址解析协议欺骗”（简称：ARP欺骗）的恶意木马程序的入侵破坏，严重影响了局域网中用户计算机系统的正常运行。

    如果进行“ARP欺骗”的恶意木马程序入侵某个局域网中的计算机系统，那么该计算机系统就会试图通过“ARP 欺骗”手段截获所在局域网络内其它计算机系统的通信信息，导致该局域网出现突然掉线，过一段时间后又会恢复正常的现象。同时，网内的其他计算机系统也会受到影响，出现IP地址冲突、频繁断网、IE浏览器频繁出错，以及一些系统内常用软件出现故障等现象。

    由于进行“ARP欺骗”的恶意木马程序的危害性比较大，特别是对各类校园网、小区网、企业网以及网吧等局域网都会有不同程度的破坏行为，最终可能导致局域网的瘫痪。因此，在局域网中的每一个计算机用户要提高警惕，做好防范工作，杜绝此类现象的发生。

专家提醒：

    针对上述情况，我们建议广大局域网络中的计算机用户采取如下方法进行防范：

１、给计算机系统及时安装系统漏洞补丁程序；

２、经常升级计算机系统中防毒软件和防火墙。还可以在局域网中安装并使用网络防火墙软件，网络防火墙在防病毒过程中也可以起到至关重要的作用，能有效地阻挡自来网络的攻击和病毒的入侵；

３、计算机用户不要随意点击打开QQ 、MSN 等聊天工具上发来的地址链接或是其他数据信息，更不要随意打开或运行陌生、可疑的文件和程序；

４、将局域网系统管理员帐户的密码的位数设置复杂一点；

５、关闭一些不需要的网络服务，也可以关闭一些没有必要的网络共享。

lfspecter

4.2-4.8

国家计算机病毒应急处理中心通过互联网监测发现，近期一些局域网络中的计算机用户感染了一种叫“美女游戏”的木马程序。该恶意木马程序通过移动U盘进行传播，在受感染的移动U盘里会生成两个病毒文件。计算机用户如果使用这个受感染的移动U盘进行数据存储或是交换，那么只要接入计算机系统，该系统就会受到该恶意木马程序的入侵感染。

    计算机系统受到木马程序感染后，会在系统中各个分区根目录下出现以下文件：自动执行配置文件（autorun.inf）、可执行文件（oso.exe）、“美女游戏.gif”图片文件和“重要资料.exe”（图标是文本文件形式），同时受感染的计算机系统会出现启动速度迟缓，无法正常连接互联网络，还有将受感染计算机系统的系统时间进行篡改，导致无法恢复正常的系统时间等现象。

本周发作：
病毒名称："礼物"（Worm_Gift.B）
病毒类型：电子邮件蠕虫
发作日期：4月5日
危害程度：
    该蠕虫通过电子邮件进行传播，一旦感染计算机系统，就会在4月5日这一天在受感染的计算机系统中显示以下信息 "I-Worm.RunDllw32 Activated Thisis a I-Worm coded by Bumblebee\29a! Gretingz to all 29a members ;)"。

专家提醒：

    针对上述情况，我们建议广大局域网络中的计算机用户采取如下方法进行防范：

（一）未感染该恶意木马程序的计算机用户采用以下措施：
 
  １、立即升级计算机系统中防毒软件，暂时关闭微软“自动播放”功能，防止受感移动U盘接入时受到入侵和感染。
　２、使用移动U盘前，务必进行病毒的扫描工作，查杀移动U盘中存在的已知病毒；
　　
（二）已经感染该恶意木马程序的计算机用户采用以下措施：

    立即下载专杀工具进行查杀，同时将受感染的移动U盘进行格式化处理，彻底清除移动U盘中残留的病毒文件

lfspecter

一、病毒疫情周报表
序号	病毒名称	病毒特点
1	Worm_Mytob.X	该病毒是Worm_Mytob变种，并利用自身的SMTP引擎按照邮件地址列表中的邮件地址向外发送病毒邮件。该病毒还可以通过网络的共享文件夹进行搜索并尝试在这些文件夹中产生自身的拷贝文件。还具有后门功能，会使用不同的端口连接到指定的服务器上面，该服务器监听来自远程恶意用户的指令，利用这个指令远程用户可以控制受感染机器。同时，该变种利用一个任意的端口建立一个 FTP服务器，远程用户可以下载或上传文件或是恶意程序。
2	“网络天空”变种(Worm_Netsky.D)	该病毒通过邮件传播，使用UPX压缩。运行后，在%Win dows％目录下生成自身的拷贝，名称为Winlogon.exe。 （其中，%Windows% 是Windows的默认文件夹，通常是 C:\Windows 或 C:\WINNT），病毒使用Word的图标，并在共享文件夹中生成自身拷贝。病毒创建注册表项，使得自身能够在系统启动时自动运行。病毒邮件的发信人、主题、内容和附件都是不固定的。
3	“高波”（Worm_AgoBot）	该病毒是常驻内存的蠕虫病毒，利用RPC DCOM 缓冲区溢出漏洞、IIS5/WEBDAV 缓冲区溢出漏洞和RPC Locator 漏洞进行传播，还可通过弱密码攻击远程系统进行主动传播以及利用mIRC软件进行远程控制和传播。病毒运行后，在%System％文件夹下生成自身的拷贝nvchip4.exe。添加注册表项，使得自身能够在系统启动时自动运行。
4	“威金”（Worm_Viking）	它主要通过网络共享进行传播，会感染计算机系统中所有文件后缀名为.EXE的可执行文件，导致可执行文件无法正常启动运行，这当中也包括计算机系统中防病毒软件，蠕虫变种会终止防病毒软件，进而导致其无法正常工作。其传播速度十分迅速，一旦进入局域网络，很快就会导致整个局域网络瘫痪。它还会在受感染的计算机系统里运行后，会修改系统注册表的自启动项，以使蠕虫随计算机系统启动而自动运行。

二、本周病毒动态分析

通过对以上监测结果分析，这周危害计算机用户的依然以木马程序、蠕虫为主，排位略有变化，没有出现传播范围广、破坏力强的新病毒疫情。

再次提醒广大计算机用户做好网络安全和病毒的防范工作，及时升级防病毒软件和防火墙，一定要打开防病毒软件的“实时监控”功能。

三、建议可以采用以下病毒防范措施：

1、针对蠕虫“威金”新变种的情况，我们提醒广大计算机用户注意：对没有感染变种的计算机用户，应该及时升级系统中的防病毒软件，同时打开防病毒软件的“实时监控”功能；对已经感染变种的计算机用户，建议尽快下载专杀工具进行查杀修复工作，可以登陆网站：

http://www.antivirus-china.org.cn/content/Worm_Viking.htm查阅。。

2、对于感染“魔波”（Worm_Mocbot.A）的计算机用户，提醒用户及 时升级杀毒软件，或可以登陆网站：

http://www.antivirus-china.org.cn/content/Worm_Mocbot.A.htm查阅。

3、对于感染“网络天空”的新变种Worm_Netsky.D病毒的计算机用

户，提醒用户及时升级杀毒软件，或可以登陆网站：

http://www.antivirus-china.org.cn/content/Worm_Netsky.D.htm查阅。

4、对于感染Worm_Mytob.X蠕虫的计算机用户，提醒用户及时升级

杀毒软件，或可以登陆网站：

http://www.antivirus-china.org.cn/content/Worm_Mytob.X.htm查阅。

5、发现网络和系统异常，及时与国家计算机病毒应急处理中心或防病毒厂家联系。

lfspecter

4.16-4.22

近期，微软公司的办公文字处理软件Office Word 2007出现三个新的漏洞。其中有两个若被恶意攻击者利用，很有可能会对受攻击的计算机系统产生类似于拒绝服务式攻击的恶果，例如：受攻击计算机系统的CPU占用量会达到100％，造成系统无法正常使用。同时，第三个漏洞可能会使恶意攻击在远程对受攻击的计算机系统执行任意代码，最终导致系统瘫痪。

    目前，微软公司尚未发布针对这三个漏洞的补丁程序。恶意攻击者很有可能会利用这些漏洞来对存在漏洞的计算机系统发起恶意攻击，例如：用一个含有恶意代码的Word文档，诱使计算机用户下载或打开这个文件。一旦文件被打开，攻击者就可以对计算机系统进行一些远程控制，进行一系列的破坏。

本周发作：
病毒名称："木桶"病毒（Worm_Firkin.A）
病毒类型：蠕虫
发作日期：4月19日
危害程度：该蠕虫会在这一天在受感染的计算机系统中删除下列文件夹中的文件：C:\ 、
C:\Windows、C:\Windows\System、C:\Windows\Command，并显示如下字符"You Have Been Infected By Chode You may now turn this piece of shit off!"

专家提醒：

   在微软公司没有发布针对这三个漏洞的补丁程序之前，我们建议广大计算机用户在使用办公文字处理软件Office Word 2007的时候注意，不要随意打开陌生的Word文档，对不熟悉的文档最好立即删除掉

lfspecter

4.23-4.29

国家计算机病毒应急处理中心通过对互联网的监测发现，微软公司的Windows DNS服务器系统出现一个新的漏洞，该漏洞会使Windows 2000 Server和Windows 2003 Server系统受到恶意攻击影响。

    如果该漏洞被恶意攻击者利用，那么存在Windows 2000 Server和Windows 2003 Server系统的局域网络中计算机系统就会受到攻击。恶意攻击者可以发送特制的RPC（远端程序呼叫）封包程序到受攻击的局域网络系统中，最终导致局域网络中计算机用户的操作系统被恶意控制，而无法正常使用。

本周发作：
病毒名称：CIH1.2
病毒类型：文件型病毒
发作日期：4月26日
危害程度：病毒感染操作系统中的EXE可执行文件。26日将尝试用随机的数据重写系统硬盘，并通过破坏Flash BIOS的数据存储对系统进行永久性的破坏，被该病毒破坏后的数据恢复是十分困难

专家提醒：

    目前，微软公司还未对这一新出现的漏洞发布补丁程序。在漏洞补丁程序发布前，我们建广大局域网络管理员可以先禁用Windows 2000 Server和Windows 2003 Server系统的DNS RPC（域名解析 远端程序呼叫）功能，并及时升级局域网络中防病毒软件和防火墙。

lfspecter

近期，微软公司发布了今年5月份的七个系统漏洞补丁程序，修复包括浏览器IE7.0、办公文字处理软件Office 2007和邮件服务程序Exchange 2007等新软件在内的一些产品中存在的多个错误漏洞。其中修复了IE浏览器中的6个错误漏洞，修复了包括Office 2007在内的办公文字处理软件Office中的3个错误漏洞，还有修复了包括Exchange 2007在内的邮件服务系统Exchang中的4个错误漏洞。

   国家计算机病毒应急处理中心建议广大计算机用户注意七个漏洞补丁程序中的以下四个，它们分别是：

（一） MS07-023：Microsoft Excel 过滤记录远程代码执行漏洞，Excel在处理Excel电子表格文件中的自动过滤记录时存在输入验证错误，如果计算机用户被诱骗打开了包含有畸形过滤记录的特制文档，计算机系统就可能会出错，甚至恶意攻击者在受入侵的计算机系统上执行恶意代码操作。

（二） MS07-024：Microsoft Word文档流远程代码执行漏洞，Microsoft Word在处理畸形格式数据文档时存在漏洞，恶意攻击者可能利用此漏洞通过诱使计算机用户打开恶意文件来远程控制计算机系统。

（三） MS07-026：Microsoft Exchange 远程代码执行漏洞，Microsoft Exchange是一款企业级的邮件服务程序。它在处理特定的畸形编码数据时存在漏洞，恶意攻击者可能利用此漏洞来远程控制邮件服务器。

（四） MS07-027：Microsoft Explorer积累性漏洞补定，Microsoft Explorer出现多处漏洞，如果恶意攻击者通过构建特制的网页来利用这些存在的漏洞，那么一旦计算机用户打开这些网页，这些漏洞可能允许恶意攻击远程执行任意代码。成功利用这些漏洞的攻击者可以完全控制受影响的计算机系统。

本周发作：

病毒名称：“生日快乐” （Troj_YerHS）
病毒类型：木马程序
发作日期：5月20日
危害程度：当日，木马程序会在受入侵感染的计算机系统中弹出一个对话框，对话框的标题为 “You are my Best Friend”（你是我最好的朋友），内容为“Happy Birthday Dear”（生日快乐，亲爱的）。

专家提醒：
　
   根据以往的经验来看，我们提到的上述那些应注意的漏洞补丁程序很可能会被恶意攻击者利用来进行病毒传播。用户不可以忽视它们，大家要根据自己的系统情况尽快地下载安装这个补丁程序，防止类似的利用系统漏洞进行恶意攻击现象的发生。

近期，微软公司发布了今年5月份的七个系统漏洞补丁程序，修复包括浏览器IE7.0、办公文字处理软件Office 2007和邮件服务程序Exchange 2007等新软件在内的一些产品中存在的多个错误漏洞。其中修复了IE浏览器中的6个错误漏洞，修复了包括Office 2007在内的办公文字处理软件Office中的3个错误漏洞，还有修复了包括Exchange 2007在内的邮件服务系统Exchang中的4个错误漏洞。

   国家计算机病毒应急处理中心建议广大计算机用户注意七个漏洞补丁程序中的以下四个，它们分别是：

（一） MS07-023：Microsoft Excel 过滤记录远程代码执行漏洞，Excel在处理Excel电子表格文件中的自动过滤记录时存在输入验证错误，如果计算机用户被诱骗打开了包含有畸形过滤记录的特制文档，计算机系统就可能会出错，甚至恶意攻击者在受入侵的计算机系统上执行恶意代码操作。

（二） MS07-024：Microsoft Word文档流远程代码执行漏洞，Microsoft Word在处理畸形格式数据文档时存在漏洞，恶意攻击者可能利用此漏洞通过诱使计算机用户打开恶意文件来远程控制计算机系统。

（三） MS07-026：Microsoft Exchange 远程代码执行漏洞，Microsoft Exchange是一款企业级的邮件服务程序。它在处理特定的畸形编码数据时存在漏洞，恶意攻击者可能利用此漏洞来远程控制邮件服务器。

（四） MS07-027：Microsoft Explorer积累性漏洞补定，Microsoft Explorer出现多处漏洞，如果恶意攻击者通过构建特制的网页来利用这些存在的漏洞，那么一旦计算机用户打开这些网页，这些漏洞可能允许恶意攻击远程执行任意代码。成功利用这些漏洞的攻击者可以完全控制受影响的计算机系统。

本周发作：

病毒名称：“生日快乐” （Troj_YerHS）
病毒类型：木马程序
发作日期：5月20日
危害程度：当日，木马程序会在受入侵感染的计算机系统中弹出一个对话框，对话框的标题为 “You are my Best Friend”（你是我最好的朋友），内容为“Happy Birthday Dear”（生日快乐，亲爱的）。

专家提醒：
　
   根据以往的经验来看，我们提到的上述那些应注意的漏洞补丁程序很可能会被恶意攻击者利用来进行病毒传播。用户不可以忽视它们，大家要根据自己的系统情况尽快地下载安装这个补丁程序，防止类似的利用系统漏洞进行恶意攻击现象的发生。

lfspecter

5.21~5.27

近期，国家计算机病毒应急处理中心通过互联网络监测发现，大多数恶意攻击者入侵计算机操作系统都是利用微软IE浏览器的一些错误漏洞，致使计算机用户在不知情的情况下，受到入侵攻击。很多计算机用户的操作系统在受到攻击后，会出现诸如：自动篡改浏览器预设的首页地址、任意添加恶意程序、不时地跳出各类广告信息网页等现象，严重地会造成计算机用户系统中的数据被窃取或是丢失。这些恶意攻击者能够成功地入侵破坏计算机系统，都是利用IE浏览器中存在的各种错误漏洞，给计算机用户带来了很多的损失。

    恶意攻击者还会利用特制的网页，对入侵的计算机系统进行破坏。这些特制的网页也是利用IE浏览器存在的各种错误漏洞，在网页中加入一些针对漏洞的恶意代码信息（比如：链接的网址、数据文件下载地址等），致使浏览这些网页的计算机用户的系统受到入侵感染而使系统无法正常使用。

专家提醒：
　
   针对上述情况，我们提醒广大计算机用户，特别是没有下载安装的操作系统，要尽快下载安装IE浏览器漏洞补丁程序，防止利用IE浏览器存在的各种错误漏洞进行恶意攻击现象的发生，避免不必要的损失。

lfspecter

5.28-6.3

近期，国家计算机病毒应急处理中心通过互联网络监测发现，很多计算机用户受到一些恶意木马程序的威胁。这些恶意木马程序大多数将自身隐藏于受感染计算机系统中的一些启动项中，并且利用Windows操作系统在启动过程中自动加载某些特定位置所指向的应用进程程序这一过程，进而达到可以随计算机系统启动而自动加载启动的目的。
　　
   另外，这些恶意木马程序感染计算机系统后会对系统进行很多的破坏，诸如：未经计算机用户的许可而任意删除或是替换计算机系统中大量数据文件,造成保存在系统中重要的数据文件丢失或被篡改。还有木马程序会进入计算机系统中后释放一个恶意的数据包,这个数据包会在计算机系统的IE浏览器中添加工具条,并自动弹出一些广告窗口,造成计算机系统无法正常的运行操作,并且占用很多系统资源,造成系统运行速度减慢等破坏现象。

专家提醒：
　
   针对上述情况，我们建议广大计算机用户采用如下方法防范这些恶意木马程序：

1、要及时升级计算机系统中防病毒软件和防火墙；在使用计算机系统浏览网页的时候，最好打开系统中防病毒软件的“实时监控”功能，同时打开防火墙。

2、不要轻易从互联网络上下载运行未经系统中防病毒软件处理过的数据文件，最好对其进行全面扫描后再运行比较好。

lfspecter

2007.6.4~2007.6.10

 近期，国家计算机病毒应急处理中心通过互联网络监测发现，一种新型“地址解析协议欺骗”（简称：ARP欺骗）的恶意木马程序的正在互联网络中传播，并且它会在局域网络中寻找网络数据响应包，在包内加入恶意木马程序的代码信息，最终导致局域网中用户计算机系统感染木马程序，使得计算机系统中的信息篡改或丢失。

    该“ARP欺骗”的恶意木马程序入侵某个局域网中的计算机系统后，它会试图通过“ARP 欺骗”手段截获所在局域网络内其它计算机系统的通信信息，导致该局域网出现突然掉线，过一段时间后又会恢复正常的现象。同时，网内的其他计算机系统也会受到影响，出现IP地址冲突、频繁断网、IE浏览器频繁出错，以及一些系统内常用软件出现故障等现象。

    除此之外，它会对局域网络中所有的数据包进行分析，过滤出网页浏览请求的应答数据包，并在数据包里面插入恶意代码，一旦计算机系统中的IE浏览器存在漏洞，那么计算机用户浏览网页的同时就会下载并运行恶意木马程序。

    由于这类“ARP欺骗”的恶意木马程序的危害性比较大，特别是对各类校园网、小区网、企业网以及网吧等局域网都会有不同程度的破坏行为，最终可能导致局域网的瘫痪。因此，在局域网中的每一个计算机用户要提高警惕，做好防范工作，杜绝此类现象的发生。

专家提醒：

    针对上述情况，我们建议广大局域网络中的计算机用户采取如下方法进行防范：

１、建议计算机用户及时下载安装浏览器的漏洞补丁程序；

２、经常升级计算机系统中防毒软件和防火墙。还可以在局域网中安装并使用网络防火墙软件，网络防火墙在防病毒过程中也可以起到至关重要的作用，能有效地阻挡自来网络的攻击和病毒的入侵；

３、计算机用户不要随意点击打开QQ 、MSN 等聊天工具上发来的地址链接或是其他数据信息，更不要随意打开或运行陌生、可疑的文件和程序；

４、将局域网系统管理员帐户的密码的位数设置复杂一点；

５、关闭一些不需要的网络服务，也可以关闭一些没有必要的网络共享。