【51CTO.com 綜合消息】2009年3月16日到3月22日安天實驗室中國地區周病毒周報：

2009年3月16日到3月22日病毒周報

本周第一位：
Virus/Win32.Virut.n病毒運行后，復制自身到各驅動器根目錄下（除系統盤根目錄）并衍生配置文件，實現雙擊盤符運行病毒。在%ProgramFiles%目錄和部分附屬目錄下復制自身并衍生病毒文件；修改注冊表，添加啟動項，對大量反病毒工具和軟件映像劫持，鎖定對隱藏文件的顯示，使用戶無法通過文件夾選項顯示隱藏文件；禁用系統防火墻服務、自動更新服務、入侵保護服務、幫助服務；刪除注冊表中安全模式啟動需要加載的驅動文件，使用戶無法進入安全模式；開啟自動播放功能，感染連接到中毒機器的移動磁盤；該病毒會自動關閉標題欄中含有指定字符的窗口或文件；該病毒主要通過移動磁盤進行傳播

重點關注：
Trojan/Win32.Magania.awyj[GameThief]。該病毒為木馬類病毒，病毒運行后，創建互斥量，獲取當前所在用戶、獲取網卡MAC地址、衍生（隨機病毒名）.tmp到臨時目錄下，使用函數將自身移動到同目錄下并重命名為：（隨機病毒名）.tmp、并將文件屬性設置為隱藏，然后將自身刪除，動態加載病毒文件（隨機病毒名）.tmp，動態獲取ResetSSDT模塊函數地址，調用該DLL函數地址，釋放病毒驅動文件到%system32%\Drivers\下，替換該目錄下的beep.sys文件，實現通過系統服務加載病毒驅動文件，恢復SSDT達到饒過部分安全軟件的實時監控，創建病毒驅動設備名：\\.\RESSDTDOS，添加注冊表病毒服務啟動項，刪除%system32%目錄下的Iasmic.dll文件，并釋放一個同名文件到該目錄下，查找窗口類名、Button按紐，如發現該窗體含有 “允許此動作”、“確定”的字樣，則利用鼠標模擬點擊該按紐，將病毒DLL文件插入svchost.exe進程中進行通信，病毒運行后連接網絡等待控制端發送的控制命令。

專家建議：
1.在任務管理器中查看是否有陌生以及可疑的進程存在。
2.安裝安天防線反病毒軟件。
3.及時打全系統補丁。
4.及時關注各種應用軟件的漏洞并及時更新到應用軟件的最新版本。
5.在需要輸入游戲賬號信息時，打開安天防線反病毒軟件的實時監控功能。
6.注意經常更新安天防線反病毒軟件的病毒庫來阻止被病毒感染。

手動查殺方法：
針對以上病毒，其病毒變種非常之多。其應用技術各不相同所以沒有一個固定的手動查殺方法， 只能告訴用戶一些基本的殺毒方法,針對微軟XP用戶：
1.斷開網絡連接，進行以下操作。
2.在“運行”中輸入“msconfig”分別點擊“啟動”與“服務”標簽。
3.查看是否有陌生程序的啟動項，有則找到對應位置，使用安天防線反病毒軟件查殺或手動刪除。
4.打開“文件夾選項”中的查看隱藏文件等選項，這樣可以看到隱藏的病毒體。如看不到隱藏文件表明注冊表中顯示隱藏文件項被修改，解決辦法使用安天防線反病毒軟件掃描或者手動修改。
5.對于使用移動設備時，請先用右鍵點擊查看，是否有“自動運行”項，如有，在使用前用安天防線反病毒軟件掃描。

下周病毒預測：
從本周的趨勢觀察，及據安天實驗室捕獲統計， 具有網絡傳播能力的蠕蟲和病毒類有所上升，請用戶及時升級系統補丁，更新第三方軟件的版本，同時安裝反病毒軟件,更新反病毒數據庫。

專家預防建議：
1.建立良好的安全習慣，不打開可疑郵件和可疑網站。
2.不要隨意接收聊天工具上傳送的文件以及打開發過來的網站鏈接。
3.使用移動介質時最好使用鼠標右鍵打開使用，必要時先要進行掃描。
4.現在有很多利用系統漏洞傳播的病毒，所以給系統打全補丁也很關鍵。
5.安裝專業的防毒軟件升級到最新版本，并開啟實時監控功能。
6.為本機管理員帳號設置較為復雜的密碼，預防病毒通過密碼猜測進行傳播，最好是數字與字母組合的密碼。
7.不要從不可靠的渠道下載軟件，因為這些軟件很可能是帶有病毒的。
8.下載軟件后應用使用安天防線反病毒軟件進行查殺，然后進行使用。

【相關文章】

更多病毒日報

更多病毒周報