圖

【51CTO.com 綜合消息】本周第一位：   

Worm/Win32.AutoIt.r該病毒運(yùn)行后，獲取kernel32.dll基址，動(dòng)態(tài)獲取大量API函數(shù)地址，動(dòng)態(tài)加載系統(tǒng)庫(kù)文件uxtheme.dll，調(diào)用該庫(kù)文件的"IsThemeActive"函數(shù)，獲取系統(tǒng)版本號(hào)，動(dòng)態(tài)加載系統(tǒng)庫(kù)文件kernel32.dll，調(diào)用該庫(kù)文件的IsWow64Process函數(shù)，查看操作系統(tǒng)是32位還是64位，獲取系統(tǒng)版本信息之后釋放到kernel32.dll,試圖更改桌面壁紙，檢測(cè)是否被處理調(diào)試狀態(tài)，如果是則調(diào)用MessageBox彈出以下信息："This is a compiled AutoIt script. AV researchers please email avsupport@autoitscript.com for support."，調(diào)用SHGetDesktopFolder函數(shù)獲得桌面文件夾的IShellFolder接口，注冊(cè)一個(gè)窗口類名"AutoIt v3 GUI"及消息句柄"TaskbarCreated"，完成之后創(chuàng)建隱藏的窗口，調(diào)用函數(shù)創(chuàng)建一個(gè)WORD圖標(biāo)的托盤(pán)，調(diào)用函數(shù)進(jìn)入消息循環(huán)一直到接收到WM_NULL則跳出循環(huán)，拷貝自身到%System32%目錄下備份多個(gè)病毒副本，分別重命名為fjwfbnyobd.exe、bomlfdbivbryevg.exe、iabzajxe.exe、ogwcoyjfpfnjn.exe（全部為隨機(jī)病毒名），并將屬性全部隱藏，在%System32%目錄下創(chuàng)建一個(gè)名為mydoc.rtf的WORD文件，調(diào)用函數(shù)創(chuàng)建大量病毒進(jìn)程，循環(huán)打開(kāi)多個(gè)mydoc.rtf文件，使系統(tǒng)速度大大下降，該病毒一旦運(yùn)行之后將無(wú)法結(jié)束其進(jìn)程直到系統(tǒng)資源耗盡導(dǎo)致死機(jī)。

重點(diǎn)關(guān)注：

Trojan/Win32.Agent.aofn[Dropper]。該病毒為木馬類，該病毒圖標(biāo)為windows系統(tǒng)垃圾回收站圖標(biāo)，并且有完整的版本信息，其公司名為“360安全衛(wèi)士”；病毒完全運(yùn)行后，首先在%system32%目錄下復(fù)制自身、釋放注冊(cè)表導(dǎo)入文件添加映像劫持，其目的是躲避殺軟的主動(dòng)防御；在%Windir%\Cursors下釋放taskmgr.exe，并運(yùn)行，用以迷惑用戶誤認(rèn)為任務(wù)管理器進(jìn)程，并分別在%Windir%\Cursors和%Windir%\system32\wbem目錄進(jìn)行本體備份；通過(guò)修改注冊(cè)表添加病毒啟動(dòng)項(xiàng)和服務(wù)項(xiàng)，其中服務(wù)項(xiàng)名為“Microsoft Vista”，發(fā)行商為“360安全衛(wèi)士”，并在描述中用“系統(tǒng)登陸初始界面，終止該服務(wù)將導(dǎo)致系統(tǒng)不能正常登陸”字樣迷惑用戶，使其不敢輕易終止該服務(wù)項(xiàng)；該病毒還通過(guò)修改注冊(cè)表，使其在開(kāi)關(guān)機(jī)時(shí)達(dá)到病毒自動(dòng)運(yùn)行的目的；病毒完全運(yùn)行后刪除自身；連接網(wǎng)絡(luò)下載病毒文件；下載病毒中包含木馬下載者類病毒會(huì)下載大量病毒，甚至導(dǎo)致計(jì)算機(jī)死機(jī)。

專家建議：  

1.在任務(wù)管理器中查看是否有陌生以及可疑的進(jìn)程存在。  

2.安裝安天防線反病毒軟件。  

3.及時(shí)打全系統(tǒng)補(bǔ)丁。   

4.及時(shí)關(guān)注各種應(yīng)用軟件的漏洞并及時(shí)更新到應(yīng)用軟件的最新版本。   

5.在需要輸入游戲賬號(hào)信息時(shí)，打開(kāi)安天防線反病毒軟件的實(shí)時(shí)監(jiān)控功能。  

6.注意經(jīng)常更新安天防線反病毒軟件的病毒庫(kù)來(lái)阻止被病毒感染。

手動(dòng)查殺方法：

針對(duì)以上病毒，其病毒變種非常之多。其應(yīng)用技術(shù)各不相同所以沒(méi)有一個(gè)固定的手動(dòng)查殺方法， 只能告訴用戶一些基本的殺毒方法,針對(duì)微軟XP用戶：

1.斷開(kāi)網(wǎng)絡(luò)連接，進(jìn)行以下操作。

2.在“運(yùn)行”中輸入“msconfig”分別點(diǎn)擊“啟動(dòng)”與“服務(wù)”標(biāo)簽。

3.查看是否有陌生程序的啟動(dòng)項(xiàng)，有則找到對(duì)應(yīng)位置，使用安天防線反病毒軟件查殺或手動(dòng)刪除。

4.打開(kāi)“文件夾選項(xiàng)”中的查看隱藏文件等選項(xiàng)，這樣可以看到隱藏的病毒體。如看不到隱藏文件表明注冊(cè)表中顯示隱藏文件項(xiàng)被修改，解決辦法使用安天防線反病毒軟件掃描或者手動(dòng)修改。

5.對(duì)于使用移動(dòng)設(shè)備時(shí)，請(qǐng)先用右鍵點(diǎn)擊查看，是否有“自動(dòng)運(yùn)行”項(xiàng)，如有，在使用前用安天防線反病毒軟件掃描。

下周病毒預(yù)測(cè)：   

從本周的趨勢(shì)觀察，及據(jù)安天實(shí)驗(yàn)室捕獲統(tǒng)計(jì)， 具有盜取能力的木馬類和感染能力的病毒和蠕蟲(chóng)總體都有所上升，同時(shí)病毒類和蠕蟲(chóng)類也會(huì)伴有竊取用戶信息的能力，提醒廣大用戶注意個(gè)人信息的保密，同時(shí)請(qǐng)用戶及時(shí)升級(jí)病毒庫(kù)，預(yù)防此類病毒侵襲。

專家預(yù)防建議：  

1.建立良好的安全習(xí)慣，不打開(kāi)可疑郵件和可疑網(wǎng)站。   

2.不要隨意接收聊天工具上傳送的文件以及打開(kāi)發(fā)過(guò)來(lái)的網(wǎng)站鏈接。   

3.使用移動(dòng)介質(zhì)時(shí)最好使用鼠標(biāo)右鍵打開(kāi)使用，必要時(shí)先要進(jìn)行掃描。   

4.現(xiàn)在有很多利用系統(tǒng)漏洞傳播的病毒，所以給系統(tǒng)打全補(bǔ)丁也很關(guān)鍵。   

5.安裝專業(yè)的防毒軟件升級(jí)到最新版本，并開(kāi)啟實(shí)時(shí)監(jiān)控功能。   

6.為本機(jī)管理員帳號(hào)設(shè)置較為復(fù)雜的密碼，預(yù)防病毒通過(guò)密碼猜測(cè)進(jìn)行傳播，最好是數(shù)字與字母組合的密碼。   

7.不要從不可靠的渠道下載軟件，因?yàn)檫@些軟件很可能是帶有病毒的。  

8.下載軟件后應(yīng)用使用安天防線反病毒軟件進(jìn)行查殺，然后進(jìn)行使用。