本周重点关注病毒

　　一、 “仿真机器狗”（Win32.Troj.Downloader.ns.25088）  威胁级别：★★

　　这个下载器很明显是仿照机器狗来制作的。它开始运行后，首先删除注册表中一些免疫机器狗病毒工具的启动信息，破坏目前已有的各类机器狗专杀工具的运行，并修改系统时间为2003年，让依赖系统时间进行激活和升级的杀毒软件失效。

　　接着，它在系统盘的%windows%\system32\drivers\目录下释放文件7.tmp(注意，文件名是随机生成的)，并将它注入到系统桌面进程中，修改桌面进程的数据，将其变为自己的傀儡，以便执行下一步的操作。

　　病毒继续运行，它搜索并替换掉所有用户对系统目录的完全控制权限，让用户完全失去对自己电脑的控制，这样一来，就能阻止用户进行手动查杀。最后，病毒在“c:\temp\”目录下释放出另一个随机命名的.tmp格式文件运行，试图连接网络执行下载。

　　根据毒霸反病毒工程师的分析，由于病毒本身功能设计的问题，下载行为无法实现。但不排除病毒作者会在下一个变种中进行改进的可能。因此，对该毒需要特别注意。

　　关于该病毒的详细分析报告，可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-troj-downloader-ns-25088-50597.html

　　二、 “MSN后门制造者65536”（Worm.VB.as.65536）  威胁级别：★

　　这个后门病毒主要利用网页挂马和MSN传送的方式进行传播，近来传播趋势有增高倾向，可以怀疑是有人在故意进行传播。

　　它进入用户电脑后所释放出的病毒文件非常多，遍布于系统盘%WINDOWS%目录下的众多子文件夹中，名字各异，但都是病毒的副本文件。毒霸反病毒工程师认为，病毒作者这样做，是为了防止病毒被轻而易举地“一锅端”。

　　尽管病毒文件众多，但我们还是可以通过病毒进程“顺藤摸瓜”，找到它们。毒霸可以直接查杀该毒，习惯手动杀毒的用户，需注意%WINDOWS%\system\fun.exe、%WINDOWS%\sviq.exe、%WINDOWS%\dc.exe这几个病毒进程，以及它们在注册表中的数据，它们就是病毒的主文件。

　　当顺利地释放出所有文件，并建立进程，该毒便会打开端口1042TCP和1043UDP，在后台悄悄连接病毒作者指定的远程服务器du***oivb.goo*****ges.com，等待黑客的入侵。

　　最后，病毒会监视系统内MSN运行情况，向用户的MSN好友自动发送含毒文件来传播自身。

　　关于该病毒的详细分析报告，可在金山病毒大百科中查阅 http://vi.duba.net/virus/worm-vb-65536-50582.html

　　此外值得关注病毒

　　一、 “漏洞下载器5802”（JS.Downloader.vz.5802）  威胁级别：★

　　这个下载器主要是利用网页挂马的方式进行传播，它可根据用户系统的实际情况，利用多款软件的安全漏洞实施下载行为，具有一定的智能型。

　　毒霸反病毒分析师检查后发现，这个病毒是一个脚本文件，可轻易挂到安全性能较差的网站上，进入用户系统后，它立即检查用户电脑中是否存在WINDOWS系统的MS06-014漏洞，以及 2.0.2.144版本的BaiduBar.dll和2.0.1.3829版本的PPStream。

　　如果有，病毒就利用它们，在用户无法知晓的情况下建立远程连接，从病毒作者指定的网站http://web.ha****liang.com//dm/下载更多其它病毒。

　　如果系统或第三方软件的漏洞不即时修补，那么不论杀毒软件如何升级，都无法有效防护系统安全，因此，一定要及时打好安全漏洞的补丁。

　　关于该病毒的详细分析报告，可在金山病毒大百科中查阅 http://vi.duba.net/virus/js-downloader-vz-5802-50592.html 

　　二、  “文件夹邮递员”（Win32.Troj.Agent.208896）  威胁级别：★

　　这个蠕虫病毒具有较强的伪装和诱惑能力。与那些想方设法躲避用户发现的“同行”不同，它会将自己的病毒文件伪装成文件夹的样子，最大限度地欺骗用户去点击，以使自己得到激活。

　　病毒进入系统后，会立刻在全部的磁盘分区中释放出病毒文件WINDOWS.EXE、coment.htt和desktop.ini。其中WINDOWS.EXE是病毒主文件，coment.htt则负责在用户上网时，利用IE浏览器的漏洞来调用WINDOWS.EXE，而desktop.ini则是用于激活coment.htt不可缺少的“钥匙”。

　　当文件释放完毕，病毒就修改注册表中的相关数据，使得自己文件的后缀都隐藏起来，并给自己换上文件夹图标。它这样做，是希望让用户以为它是一个文件夹，进行点击。当病毒首次被激活时，它将自己复制到系统的字体路径（比如C:\WINNT\FONTS\）。名称是四位随机数字和字母，扩展名为“com”。 并在注册表的启动项添加“TempCom”，让自己实现开机自启动。

　　等到下一次被激活时，病毒就会搜索系统中的Outlook工具，读取其中的联系人邮件地址，悄悄地向联系人发送含毒邮件，扩大自己的感染范围。为进一步提高传播速度，病毒还会查找网络上的其它计算机，试图感染更多用户电脑。

　　目前发现的该病毒变种，还不具备直接危害性，但随着该病毒的传播，不排除病毒作者会将其升级为黑客程序的可能，因此需要注意。

　　关于该病毒的详细分析报告，可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-troj-agent-208896-50589.html

　　金山毒霸反病毒工程师建议

　　1.请及时更新您的杀毒软件，网络版可以通过控制台执行全网升级。

　　2.建议手动或使用毒霸来关闭自动播放功能,防止病毒利用U盘等可移动设备来进行传播。

　　3.最好安装专业的杀毒软件进行全面监控。建议用户安装反病毒软件防止日益增多的病毒，用户在安装反病毒软件之后，应该经常进行升级、将一些主要监控经常打开（如邮件监控）、内存监控等，遇到问题要上报， 这样才能真正保障计算机的安全。