【51CTO.com 綜合消息】Worm/Win32.Runouce.b。該惡意文件為蠕蟲病毒，本惡意病毒文件進行了加密處理，病毒運行后、暴力搜索kernel32基址，動態(tài)獲取大量API函數(shù)地址，創(chuàng)建互斥量名為“ChineseHacker-2”，防止多次運行產(chǎn)生的沖突，調(diào)用API函數(shù)隱藏打開病毒本體文件，創(chuàng)建病毒文件“runouce.exe、KillEDLL.DLL”到%system32%目錄下，按節(jié)分別將病毒代碼寫入該文件中，試圖將病毒DLL注入到所有進程中，并將屬性設(shè)置為隱藏，添加注冊表啟動項、創(chuàng)建一個注冊表監(jiān)視的線程，如被刪除，則立即重新寫入病毒啟動項，在系統(tǒng)目錄下衍生“readme.eml”文件，該文件為病毒發(fā)送的郵件內(nèi)容，該郵件內(nèi)容為了躲避安全軟件查殺便做了Base64加密處理，解密后得到的數(shù)據(jù)為PE文件（病毒體文件），病毒調(diào)用系統(tǒng)自帶的Outlook Express發(fā)送惡意郵件，病毒通過共享和發(fā)送惡意郵件來傳播自身。

重點關(guān)注：

Trojan/Win32.Mudrop.aui[Dropper]。該惡意代碼文件為木馬類，病毒運行后動獲取大量API函數(shù)，創(chuàng)建病毒互斥量"907ERT"防止病毒多次運行產(chǎn)生沖突，遍歷%System32%目錄下是否存在"explorer.exe"文件，調(diào)用CMD命令將%Windir%、%Temp%目錄給予當前用戶完全控制權(quán)限，停止ekrn、AVP安全軟件服務(wù)、結(jié)束大量安全軟件進程，衍生病毒DLL文件到%System32%目錄下，使用rundll32.exe啟動病毒DLL文件，衍生病毒DLL到%Windir%目錄下，動態(tài)獲取病毒DLL的"FF"模塊，進入該模塊內(nèi)后病毒判斷自身進程是否在"explorer.exe"進程中，如是則創(chuàng)建hosts文件、劫持大量域名地址，在每個磁盤根目錄下創(chuàng)建autorun.inf文件，添加注冊表病毒服務(wù)創(chuàng)建病毒驅(qū)動文件，通過ipconfig all命令獲取本機MAC地址連接網(wǎng)絡(luò)發(fā)送信息，并下載大量病毒文件到本地。

專家建議：  

1.在任務(wù)管理器中查看是否有陌生以及可疑的進程存在。 

2.安裝安天防線反病毒軟件。  

3.及時打全系統(tǒng)補丁。   

4.及時關(guān)注各種應(yīng)用軟件的漏洞并及時更新到應(yīng)用軟件的最新版本。   

5.在需要輸入游戲賬號信息時，打開安天防線反病毒軟件的實時監(jiān)控功能。  

6.注意經(jīng)常更新安天防線反病毒軟件的病毒庫來阻止被病毒感染。

手動查殺方法：

針對以上病毒，其病毒變種非常之多。其應(yīng)用技術(shù)各不相同所以沒有一個固定的手動查殺方法， 只能告訴用戶一些基本的殺毒方法,針對微軟XP用戶：

1.斷開網(wǎng)絡(luò)連接，進行以下操作。

2.在“運行”中輸入“msconfig”分別點擊“啟動”與“服務(wù)”標簽。

3.查看是否有陌生程序的啟動項，有則找到對應(yīng)位置，使用安天防線反病毒軟件查殺或手動刪除。

4.打開“文件夾選項”中的查看隱藏文件等選項，這樣可以看到隱藏的病毒體。如看不到隱藏文件表明注冊表中顯示隱藏文件項被修改，解決辦法使用安天防線反病毒軟件掃描或者手動修改。

5.對于使用移動設(shè)備時，請先用右鍵點擊查看，是否有“自動運行”項，如有，在使用前用安天防線反病毒軟件掃描。

下周病毒預(yù)測：   

從本周的趨勢觀察，及據(jù)安天實驗室捕獲統(tǒng)計， 本周木馬類病毒有所增多，該類病毒主要目的是竊取用戶賬號密碼信息，提醒用戶注意保護個人賬號密碼等信息。另外由于上周多家知名網(wǎng)站公布MPEG-2視頻0day漏洞，在本周內(nèi)利用該漏洞進行掛馬行為會大規(guī)模爆發(fā)，提醒廣大用戶安裝銳甲網(wǎng)頁防火墻防御病毒的入侵。

專家預(yù)防建議：  

1.建立良好的安全習慣，不打開可疑郵件和可疑網(wǎng)站。   

2.不要隨意接收聊天工具上傳送的文件以及打開發(fā)過來的網(wǎng)站鏈接。   

3.使用移動介質(zhì)時最好使用鼠標右鍵打開使用，必要時先要進行掃描。   

4.現(xiàn)在有很多利用系統(tǒng)漏洞傳播的病毒，所以給系統(tǒng)打全補丁也很關(guān)鍵。   

5.安裝專業(yè)的防毒軟件升級到最新版本，并開啟實時監(jiān)控功能。   

6.為本機管理員帳號設(shè)置較為復(fù)雜的密碼，預(yù)防病毒通過密碼猜測進行傳播，最好是數(shù)字與字母組合的密碼。   

7.不要從不可靠的渠道下載軟件，因為這些軟件很可能是帶有病毒的。  

8.下載軟件后應(yīng)用使用安天防線反病毒軟件進行查殺，然后進行使用。