圖1

【51CTO.com 綜合消息】本周第一位：   

從圖看出Virus/Win32.Virut.ce病毒運(yùn)行后，復(fù)制自身到各驅(qū)動器根目錄下（除系統(tǒng)盤根目錄）并衍生配置文件，實(shí)現(xiàn)雙擊盤符運(yùn)行病毒。在%ProgramFiles%目錄和部分附屬目錄下復(fù)制自身并衍生病毒文件；修改注冊表，添加啟動項(xiàng)，對大量反病毒工具和軟件映像劫持，鎖定對隱藏文件的顯示，使用戶無法通過文件夾選項(xiàng)顯示隱藏文件；禁用系統(tǒng)防火墻服務(wù)、自動更新服務(wù)、入侵保護(hù)服務(wù)、幫助服務(wù)；刪除注冊表中安全模式啟動需要加載的驅(qū)動文件，使用戶無法進(jìn)入安全模式；開啟自動播放功能，感染連接到中毒機(jī)器的移動磁盤；該病毒會自動關(guān)閉標(biāo)題欄中含有指定字符的窗口或文件；該病毒主要通過移動磁盤進(jìn)行傳播。

重點(diǎn)關(guān)注：

Trojan/Win32.Small.gkm[Downloader]。該病毒為木馬下載者病毒，病毒運(yùn)行后獲取系統(tǒng)文件夾路徑，釋放驅(qū)動文件到%system32%\drivers目錄下，重命名為uuid.sys，等待加載驅(qū)動成功后將該驅(qū)動文件刪除，加載urlmon.dll調(diào)用urldownloadtofileaAPI函數(shù)，并隱藏創(chuàng)建IExplorer.exe進(jìn)程寫入224字節(jié)數(shù)據(jù)連接網(wǎng)絡(luò)下載文件，將下載后的文件保存到%Documents and Settings%\當(dāng)前所在用戶\Local Settings\Temp目錄下，重命名為：update.exe，并自動運(yùn)行該病毒文件，衍生病毒DLL文件到%Windir%目錄下并重命名為：linkinfo.dll并將其注入到Explorer.exe進(jìn)程中，創(chuàng)建BAT文件刪除自身，生成驅(qū)動文件%SystemRoot%\system32\drivers\ IsDrv118.sys (加載后刪除)，并調(diào)用ZwSetSystemInformation加載驅(qū)動，病毒通過檢查是否是在VMWare下運(yùn)行，如果是直接關(guān)閉虛擬機(jī)，以此來防止自己在虛擬機(jī)中被運(yùn)行，從"%Windir%"目錄開始感染所有磁盤中后綴名為"exe"的文件，病毒在感染時(shí)，不感染"QQ"、"winnt"和"windows"目錄下的程序文件，通過修改卡卡助手的驅(qū)動"%system32%\drivers\RsBoot.sys"入口，使該驅(qū)動在加載時(shí)失敗，枚舉并嘗試向局域網(wǎng)中計(jì)算機(jī)的隱藏共享文件夾"%s\\IPC$"、"C$"等寫入名稱為"setup.exe"的病毒源文件，嘗試連接時(shí)使用"Administrator"作為用戶名。

專家建議：  

1.在任務(wù)管理器中查看是否有陌生以及可疑的進(jìn)程存在。  

2.安裝安天防線反病毒軟件。  

3.及時(shí)打全系統(tǒng)補(bǔ)丁。   

4.及時(shí)關(guān)注各種應(yīng)用軟件的漏洞并及時(shí)更新到應(yīng)用軟件的最新版本。   

5.在需要輸入游戲賬號信息時(shí)，打開安天防線反病毒軟件的實(shí)時(shí)監(jiān)控功能。  

6.注意經(jīng)常更新安天防線反病毒軟件的病毒庫來阻止被病毒感染。

手動查殺方法：

針對以上病毒，其病毒變種非常之多。其應(yīng)用技術(shù)各不相同所以沒有一個固定的手動查殺方法， 只能告訴用戶一些基本的殺毒方法,針對微軟XP用戶：

1.斷開網(wǎng)絡(luò)連接，進(jìn)行以下操作。

2.在“運(yùn)行”中輸入“msconfig”分別點(diǎn)擊“啟動”與“服務(wù)”標(biāo)簽。

3.查看是否有陌生程序的啟動項(xiàng)，有則找到對應(yīng)位置，使用安天防線反病毒軟件查殺或手動刪除。

4.打開“文件夾選項(xiàng)”中的查看隱藏文件等選項(xiàng)，這樣可以看到隱藏的病毒體。如看不到隱藏文件表明注冊表中顯示隱藏文件項(xiàng)被修改，解決辦法使用安天防線反病毒軟件掃描或者手動修改。

5.對于使用移動設(shè)備時(shí)，請先用右鍵點(diǎn)擊查看，是否有“自動運(yùn)行”項(xiàng)，如有，在使用前用安天防線反病毒軟件掃描。

下周病毒預(yù)測：   

從本周的趨勢觀察，及據(jù)安天實(shí)驗(yàn)室捕獲統(tǒng)計(jì)，本周的病毒類和蠕蟲類都有所上升，木馬類病毒也占據(jù)了排行榜的大部分位置，預(yù)計(jì)未來一周內(nèi)具有感染能力的病毒會持續(xù)增長，提醒廣大用戶安裝反病毒軟件，預(yù)防具有感染能力病毒變種的入侵。

專家預(yù)防建議：  

1.建立良好的安全習(xí)慣，不打開可疑郵件和可疑網(wǎng)站。   

2.不要隨意接收聊天工具上傳送的文件以及打開發(fā)過來的網(wǎng)站鏈接。   

3.使用移動介質(zhì)時(shí)最好使用鼠標(biāo)右鍵打開使用，必要時(shí)先要進(jìn)行掃描。   

4.現(xiàn)在有很多利用系統(tǒng)漏洞傳播的病毒，所以給系統(tǒng)打全補(bǔ)丁也很關(guān)鍵。   

5.安裝專業(yè)的防毒軟件升級到最新版本，并開啟實(shí)時(shí)監(jiān)控功能。   

6.為本機(jī)管理員帳號設(shè)置較為復(fù)雜的密碼，預(yù)防病毒通過密碼猜測進(jìn)行傳播，最好是數(shù)字與字母組合的密碼。   

7.不要從不可靠的渠道下載軟件，因?yàn)檫@些軟件很可能是帶有病毒的。  

8.下載軟件后應(yīng)用使用安天防線反病毒軟件進(jìn)行查殺，然后進(jìn)行使用。