病毒及木马预警每周播报

lfspecter

6.11-6.17

 近期，国家计算机病毒应急处理中心通过互联网络监测发现，蠕虫“帕虫”的新变种正在互联网络中传播。该蠕虫通过移动存储设备（如：U盘）进行传播，由于现在使用移动U盘进行数据交换的计算机用户比较多，使得该蠕虫的传播速度很快。目前，该蠕虫已经出现了多个变种，国家计算机病毒应急处理中心已接到多个用户的报告。

   该蠕虫感染计算机系统后，会在系统每个磁盘分区上生成可自动执行的文件，一旦计算机系统接入移动存储设备，就会受到感染。如果染有该蠕虫的移动存储设备接入其他计算机系统中，蠕虫就会入侵感染该系统。同时，由于受感染系统中每个磁盘分区上都有蠕虫生成的病毒文件和自动可执行文件，计算机用户只对一个磁盘分区进行查杀是无法彻底清除该蠕虫的，需对全盘进行查杀。

   该蠕虫为了隐藏自身不被防病毒软件发现和清除，它会终止多款防病毒软件的进程，使得系统中安装的防病毒软件无法正常工作。另外，蠕虫还会屏蔽防病毒厂商的网站，使得计算机用户无法访问网站，也无法升级防病毒软件。

本周发作：
病毒名称：“求职信”变种（Worm_Klez.C）
病毒类型：电子邮件蠕虫病毒
发作日期：6月13日
危害程度：蠕虫通过电子邮件进行传播,它会迫使受感染的计算机系统主动向外发送带毒邮件，同时终止系统中防病毒软件的进程，使得无法正常运行，并在13日这一天用垃圾数据覆盖操作系统中的有效数据。

专家提醒：

   针对上述情况，我们建议广大计算机用户采取如下方法进行防范：

（一）未感染该蠕虫的计算机用户采用以下措施：

  １、立即升级计算机系统中防病毒软件，修改操作系统的设置参数。如：暂时关闭微软“自动播放”功能。具体方法：
http://www.antivirus-china.org.cn/content/Worm_Pabug
.htm
　
  ２、使用移动存储设备前，务必进行病毒的扫描工作，查杀移动存储设备中存在的已知病毒；

（二）已经感染该蠕虫的计算机用户采用以下措施：

   立即下载专杀工具进行查杀，同时将受感染的移动存储设备（如：U盘）进行格式化处理，彻底清除残留的病毒文件。另外，对系统全盘进行病毒清除。

lfspecter

6.18-6.24

国家计算机病毒应急处理中心通过对互联网的监测发现，近期一些用户遭受了“AV终结者”病毒及其变种的感染，同时也接到了部分用户的上报。

   该病毒利用了重定向劫持技术，机器遭受感染后，系统内的大多数杀毒软件和与安全相关的工具无法正常运行，而用户在点击相关安全软件后，实际上运行了病毒文件；同时病毒还会破坏安全模式，即使用户进入安全模式下，也无法正常运行杀毒软件并清除病毒。另外，病毒还可以通过可移动存储介质（如U盘）进行传播。

专家提醒：

　　对于普通的计算机用户来讲，该病毒感染后清除较为困难，因此国家计算机病毒应急处理中心建议用户注重对这一类病毒的防范，主要措施如下：

1、下载安装微软Windows操作系统的漏洞补丁程序，尤其是微软ANI漏洞补丁(KB935448)

2、由于病毒多通过网站挂马进行传播，建议用户不要随便点击不明链接，不要登陆不明网站

3、到正规的门户网站下载应用程序和软件，下载后应先对其进行病毒扫描，确认无毒后再安装运行

4、及时更新防病毒软件和个人防火墙，并启动实时监控。

lfspecter

6.25-7.1

国家计算机病毒应急处理中心通过对互联网的监测发现，近期一些局域网用户遭受了“ARP地址欺骗”病毒新变种的感染，同时也接到了一些用户的上报。

　　该病毒变种除具备以往ARP病毒发作的特征，诸如：局域网内部分计算机不能正常上网，或是所有计算机均不能上网，还有无法打开Web网页或打开Web网页速度较慢以及局域网连接时断时续并且网速较慢等现象以外，它还会向局域网内发送伪造的ARP欺骗广播，并将受感染的计算机系统伪装成局域网网关，当局域网中的计算机系统发出访问Web网页请求的时候，伪装成网关的计算机系统会把Web网页下载下来并在其中添加一段恶意地址代码一并发送给发出请求的计算机，造成该计算机系统访问Web网站时会主动连接该恶意网址。如果操作系统存在漏洞，就会在访问的计算机系统中植入木马程序，使得计算机系统遭到进一步的破坏，最终导致整个局域网成为“僵尸网络”。

专家提醒：

　　针对该病毒变种，国家计算机病毒应急处理中心建议广大计算机用户采取如下防范措施：

1、立即升级操作系统中的防病毒软件和防火墙，同时打开“实时监控”功能，实时地拦截来自局域网络上的各种ARP病毒变种。

2、立即下载微软MS06-014和MS07-017两个系统漏洞补丁程序，将补丁程序安装到局
域网络中存在这两个漏洞的计算机系统中，防止病毒变种的感染和传播。

lfspecter

7.2-7.8

国家计算机病毒应急处理中心通过对互联网的监测发现，近期利用U盘进行传播的病毒“AV终结者”又出现新变种(Trojan_KillAV.ER)，很多计算机用户受到感染。

    该病毒变种除具备以往“AV终结者”病毒发作的特征，诸如：受感染的计算机系统内的大多数防病毒软件和与安全相关的工具都无法正常运行；受感染的计算机系统无法正常进入安全模式，即使用户进入安全模式，也无法正常运行防病毒软件并清除病毒等现象以外，它还会通过修改注册表中的键值项，导致系统不能正常显示隐藏文件，更好的隐藏病毒文件，使自身不被发现清除。同时修改注册表的启动项，这样保证病毒可以随Windows操作系统启动而自动运行。

    由于该病毒变种能够关闭防火墙、防病毒软件的安全服务进程，使计算机系统不再受到防病毒软件的保护，因此导致受感染的系统自动连接到互联网络上的指定服务器下载后门程序，进而可以远程控制计算机系统，窃取计算机用户的游戏帐号、银行密码等信息，对受感染的计算机系统进行更大的破坏。

本周发作：
病毒名称：“求职信”变种（Worm_Klez.E）
病毒类型：电子邮件蠕虫病毒
发作日期：7月6日
危害程度：病毒发作后会感染计算机系统中的Word文档和Excel文档，且遭受感染文档和数据都将无法恢复。另外，它还会使受感染的计算机系统自动地向外发送带毒邮件，同时终止系统中防病毒软件的正常运行，并将其从计算机系统中删除掉。

专家提醒：

    针对这一类利用移动存储设备进行传播的病毒，国家计算机病毒应急处理中心建议广大计算机用户采取如下防范措施：

1、养成使用U盘，MP3，移动硬盘等移动储存设备的良好习惯。例如：当外来U盘接入计算机系统时，切勿双击打开，一定要先经过杀毒处理，或是采用具有U盘病毒免疫功能的杀毒软件查杀后，再接入计算机系统；另外，关闭微软的“自动播放”功能。

2、立即下载安装系统遗漏的漏洞补丁程序，防止病毒的进一步感染和传播。

3、及时更新系统中防病毒软件，做到定时升级，定时查杀病毒。

4、到正规的门户网站下载应用程序和软件，避免软件安装包被捆绑进木马病毒。下载后应先对其进行病毒扫描，确认无毒后再安装运行。

5、由于病毒多通过网站挂马进行传播，建议用户不要随便点击不明链接，不要登陆不
明网站.

lfspecter

7.9-7.15

 国家计算机病毒应急处理中心通过对互联网的监测发现，近期出现利用搜索引擎网站的漏洞进行恶意攻击的情况，它主要利用聊天工具（如：QQ、MSN等）为传播途径，主动向好友列表发送经过伪装和加密处理的网络链接地址，诱使计算机用户访问。如果计算机用户点击了这个链接地址就会跳转到挂马网站，最终导致用户的计算机系统被恶意程序感染，造成系统中重要信息（如：账号、密码等）被窃取。

    另外，通过监测发现黑客将含有恶意代码网站的地址伪造成微软安全更新程序的下载链接地址，以电子邮件的形式发送给用户，诱使计算机用户点击该地址下载安装仿冒的安全补丁程序，导致用户感染恶意程序。

    我们提醒广大计算机用户注意，近期这类利用一些具有欺骗性信息诱使用户访问恶意网站并导致用户系统感染的事件逐步增多。希望用户提高自我保护意识，采取有效的技术防范措施，避免受到恶意攻击和破坏。

专家提醒：

    针对这一类情况，国家计算机病毒应急处理中心建议广大计算机用户采取如下防范措施：

1、对于聊天好友或者电子邮件发送过来的网址链接需要仔细分析，如果发现一些可疑的网络链接地址，要多加小心，谨慎点击访问。

2、浏览或访问网页的时候，要打开系统中防病毒软件的“实时监控”功能，特别是“网页监控”，及时发现拦截一些恶意攻击。

3、及时下载更新操作系统的漏洞补丁程序，特别是IE浏览器的补丁程序，防止利用漏洞进行传播的病毒的入侵破坏。

lfspecter

7.16-7.22

  国家计算机病毒应急处理中心通过对互联网的监测发现，近期出现一种强行篡改操作系统中IE浏览器主页，同时感染后会从指定的网络服务器上下载恶意代码的木马程序变种。

    该变种运行后，它会释放大量文件名是随机生成的病毒文件，同时修改注册表的键值项。该变种还会对受感染的计算机系统进行很多破坏性操作，诸如：强行修改操作系统中IE浏览器主页设置，将主页设置成为指定的网站地址，而用户无法恢复主页的设置。计算机用户一旦打开这个主页网站，操作系统就会主动下载恶意程序，导致系统中的重要信息或是数据遭到窃取丢失（如：盗取用户的网上银行，网络游戏或QQ的账号和密码、远程控制受感染的计算机系统等）。建议您及时升级杀毒软件病毒库，并开启实时防毒功能，预防病毒的入侵。

专家提醒：  国家计算机病毒应急处理中心通过对互联网的监测发现，近期出现一种强行篡改操作系统中IE浏览器主页，同时感染后会从指定的网络服务器上下载恶意代码的木马程序变种。

    该变种运行后，它会释放大量文件名是随机生成的病毒文件，同时修改注册表的键值项。该变种还会对受感染的计算机系统进行很多破坏性操作，诸如：强行修改操作系统中IE浏览器主页设置，将主页设置成为指定的网站地址，而用户无法恢复主页的设置。计算机用户一旦打开这个主页网站，操作系统就会主动下载恶意程序，导致系统中的重要信息或是数据遭到窃取丢失（如：盗取用户的网上银行，网络游戏或QQ的账号和密码、远程控制受感染的计算机系统等）。建议您及时升级杀毒软件病毒库，并开启实时防毒功能，预防病毒的入侵。

专家提醒：

    针对上述情况，国家计算机病毒应急处理中心建议广大计算机用户采取如下防范措施：

1、建议计算机用户安装防病毒软件进行全面监控，并且及时升级防病毒软件。在使用计算机系统的时候，最好打开“实时监控”功能（如：邮件监控、内存监控等）。

2、由于现在玩网络游戏、利用QQ聊天的用户与日俱增，所以各类盗号木马程序必将会随之增多，趁机而入。建议用户一定要养成良好的网络使用习惯，及时升级杀毒软件，开启防火墙以及实时监控等防病毒功能，切断病毒传播的途径，不给病毒以可乘之机。




    针对上述情况，国家计算机病毒应急处理中心建议广大计算机用户采取如下防范措施：

1、建议计算机用户安装防病毒软件进行全面监控，并且及时升级防病毒软件。在使用计算机系统的时候，最好打开“实时监控”功能（如：邮件监控、内存监控等）。

2、由于现在玩网络游戏、利用QQ聊天的用户与日俱增，所以各类盗号木马程序必将会随之增多，趁机而入。建议用户一定要养成良好的网络使用习惯，及时升级杀毒软件，开启防火墙以及实时监控等防病毒功能，切断病毒传播的途径，不给病毒以可乘之机。

lfspecter

7.23-7.28

 国家计算机病毒应急处理中心通过对互联网的监测发现，近期出现一种新蠕虫Worm_AutoIt.C，该蠕虫会对目标地址的计算机系统不断发送病毒数据包,并试图利用局域网进行传播，不但影响系统的正常运作,而且由于大量病毒数据包的传送,可能会最终导致局域网崩溃。

    该蠕虫运行后，会将自身复制到系统目录下，同时修改注册表项中的键值，随系统启动而自动加载。受感染的系统会出现运行速度明显变慢，在状态栏处右键打开“任务管理器”后，发现“任务管理器”被停用(窗口变成灰色)，并且调用任务管理器时，会弹出对话框 “任务管理器被系统管理员停用”等一些症状。与此同时，在受感染的系统中“我的电脑”的“工具”菜单里的“文件夹选项”会被蠕虫屏蔽掉，用户无法使用“文件夹选项”这个设置项。

    另外，利用图形图像处理软件（Adobe Photoshop）中一处“高危漏洞”的恶意代码已在互联网络上出现。如果恶意攻击者利用了该缺陷发动缓冲区溢出攻击，那么会导致用户的计算机系统被远程控制。目前，利用该漏洞进行恶意攻击的情况还未出现，但是我们建议在发布补丁程序之前，广大用户应该尽量不要轻易地打开来路不明的位图文件。

本周发作：
病毒名称：TROJ_UCF.A
病毒类型：木马程序
发作日期：7月28日
危害程度：木马会覆盖硬盘的部分扇区，使计算机系统内数据遭到破坏或丢失，严重地可能造成计算机系统无法正常启动和使用。

专家提醒：

     针对上述蠕虫的情况，国家计算机病毒应急处理中心建议广大计算机用户采取如下防范措施：

(一)未感染蠕虫的计算机用户，建议系统中安装防病毒软件进行全面监控，并且及时升级防病毒软件。在使用计算机系统的时候，最好打开“实时监控”功能（如：邮件监控、内存监控等）。

(二)已经感染蠕虫的计算机用户，建议升级系统中的防病毒软件，对系统进行全面查杀；使用专用工具修复被蠕虫禁用的“任务管理器”和“文件夹选项”。

lfspecter

7.3-8.5

国家计算机病毒应急处理中心通过对互联网的监测发现，近期通过Ｕ盘等移动存储设备进行传播的木马（比如：木马“下载者”及变种、“U盘杀手”等）呈上升趋势，我们已经接到计算机用户的求助，他们都受到了不同程度的破坏。

    国家计算机病毒应急处理中心经分析发现，在这些木马程序中通过互联网络下载而感染计算机系统的情况占的比例较大。由于目前正值学生暑期放假，学生使用互联网络的频率有可能会短时间内增大，特别是通过互联网络下载一些程序的情况就会更多。这样一来就给木马程序的传播肆虐提供了更多的机会。

    现今，随着利用点对点进行数据下载技术的广泛使用，恶意木马程序可以很容易地植入到下载数据文件内而迅速在整个互联网络中传播。比较常用的方式有：把一些木马伪装成点对点下载使用的种子文件；更有甚者会命名一些比较有诱惑性的名字来诱骗用户，一旦下载打开，恶意木马程序就会入侵感染计算机系统。

    另外，大多数用户利用互联网络上的资源往往会通过网络搜索这种方式来获取，恰恰木马制造者就利用这一点，把恶意木马程序伪装捆绑到一些热门的软件、电影、MP3音乐等数据资源中。如果计算机用户通过这些热门关键词去搜索并下载这些有问题的数据资源，那么很有可能会受到这些恶意木马的入侵感染。

本周发作：

病毒名称：“礼物”（Worm_Gift.B）
病毒类型：电子邮件蠕虫病毒
发作日期：8月5日
危害程度：蠕虫通过电子邮件进行传播，一旦感染计算机系统，就会在显示器上显示以下信息 “I-Worm.RunDllw32 Activated This is a I-Worm coded by Bumblebee\29a! Gretingz to all 29a members ;)”。

专家提醒：

    针对这一类利用移动存储设备进行传播的木马程序，国家计算机病毒应急处理中心建议广大计算机用户采取如下防范措施：

1、养成使用U盘，MP3，移动硬盘等移动储存设备的良好习惯。例如：当外来U盘接入计算机系统时，切勿双击打开，一定要先经过杀毒处理，或是采用具有U盘病毒免疫功能的杀毒软件查杀后，再接入计算机系统；另外，关闭微软的“自动播放”功能。

2、立即下载安装系统遗漏的漏洞补丁程序，防止病毒的进一步感染和传播。

3、及时更新系统中防病毒软件，做到定时升级，定时查杀病毒。

4、到正规的门户网站下载应用程序和软件，避免软件安装包被捆绑进木马病毒。下载后应先对其进行病毒扫描，确认无毒后再安装运行。

5、由于病毒多通过网站挂马进行传播，建议用户不要随便点击不明链接，不要登陆不
明网站.

lfspecter

8.6-8.12

国家计算机病毒应急处理中心通过对互联网的监测发现，近期出现一种利用聊天工具MSN进行传播的新蠕虫。该蠕虫利用了社会工程学原理，通过向聊天好友发送诱惑性消息，诱骗对方点击下载含有病毒文件的压缩包。它与之前出现的“性感肉鸡”病毒有很多类似之处，所不同的是其发送的消息不再是原来的英文、法文，而是变成了汉语拼音，其迷惑性更强，导致用户被蠕虫感染的几率增大。

    该蠕虫运行后，会释放多个病毒文件到系统目录中，并且将一个动态连接库文件注入到浏览器IE的进程中。如果蠕虫检测到受感染的计算机系统中有正在运行的MSN进程，那么它会通过MSN聊天窗口向聊天好友不断发送带有汉语拼音的诱惑性信息和含有病毒体的压缩文件。一旦计算机用户被诱骗点击下载了这些压缩文件，系统就会受到感染。

    受感染的计算机系统除了不停地向MSN好友发送诱惑消息和带毒压缩文件之外，还会主动连接下载互联网络中的指定服务器上的恶意木马程序，最终导致受感染的系统变成“僵尸计算机”。

专家提醒：

    针对新出现的蠕虫，国家计算机病毒应急处理中心建议广大计算机用户采取如下防范措施：

（一）针对已经感染该蠕虫的计算机用户，我们建议

   1、立即下载专杀工具进行查杀。

   2、升级系统中的防病毒软件，进行全面杀毒。

 (二) 针对未感染该蠕虫的计算机用户，我们建议不要轻易接收和运行MSN上传来的不明压缩文件包，同时务必打开系统中防病毒软件的“实时监控”功能。

lfspecter

9.3~9.9

国家计算机病毒应急处理中心通过对互联网的监测发现，近期出现利用U盘传播的病毒“大猩猩”(Win32_DaXingXing.A)。
病毒感染计算机系统后，会利用重定向劫持功能向注册表写入键值，来终止系统中防病毒软件和安全工具的进程，以达到躲避查杀的目的。

    该病毒运行后，会释放病毒文件到系统目录中。由于病毒文件进程采用一定的技术隐藏自身，计算机用户在任务管理器中看不到病毒进程，所以无法终止病毒进程的运行。另外，该病毒还会感染系统中所有后缀名为exe的可执行文件，使得感染后的文件图标变成一个大猩猩的图样。

    除此之外，该病毒会禁止受感染的计算机用户浏览防病毒厂商的网页，甚至造成系统中防病毒软件无法正常升级。该病毒还会修改注册表相关的键值项来禁用系统“显示隐藏文件”这一功能，目的是隐藏病毒文件，同时使得受感染的计算机系统无法正常进入到安全模式中进行查毒。

专家提醒：

    针对这一类利用移动存储设备进行传播的病毒，国家计算机病毒应急处理中心建议广大计算机用户采取如下防范措施：

1、养成使用U盘，移动硬盘等移动储存设备的良好习惯。例如：当外来U盘接入计算机系统时，切勿双击打开，一定要先经过杀毒处理，或是采用具有U盘病毒免疫功能的杀毒软件查杀后，再接入计算机系统；另外，关闭微软的“自动播放”功能。

2、立即下载安装系统遗漏的漏洞补丁程序，防止病毒的进一步感染和传播。

3、及时更新系统中防病毒软件，做到定时升级，定时查杀病毒。

4、到正规的门户网站下载应用程序和软件，避免软件安装包被捆绑进木马病毒。下载后应先对其进行病毒扫描，确认无毒后再安装运行。

5、由于病毒多通过网站挂马进行传播，建议用户不要随便点击不明链接，不要登陆不
明网站.