5月21日,金山毒霸全球反病 毒监测中心发布周(5.19-5.25)病毒预警。本周广大用户需高度警惕一名为“办公室伪装者394240” (Win32.TrojDownloader.Banload.394240)的电脑病毒。该病毒可采用微软 OFFICE办公软件中的Word图标,伪装成Word主程序欺骗用户忽略它。同时还将下载大量木马文件到用户电脑上执行,引发更多无法估计的安全事件。
金山毒霸反病毒专家李铁军表示,此病毒为一个木马下载器,它的狡猾之处在于,它会 采用微软 OFFICE办公软件中的Word图标,伪装成Word主程序欺骗用户忽略它。病毒进入电脑后,复制自身到c:\Documents~1\ Administrator\[开始]菜单\程序\启动\word.exe,以及c:\Documents~1\new\[开始]菜单\程序\启动\ word.exe目录下,同时修改系统注册表中的相关数据,使病毒可以随系统启动。
接着,从E盘开始到I盘,病毒在系统各分区下释放病毒副本,李铁军判断,这是它在试图建立AUTO文件。但由于技术原因,或者病毒作者的粗心,AUTO文件没能建立。最后,病毒在后台悄悄连接多个挂马网页,下载大量木马文件到用户电脑上执行,引发更多无法估计的安全事件。
据了解, 本周内广大用户除了要高度警惕“办公室伪装者394240”外,还需要特别关注“仿真机器狗” (Win32.Troj.Downloader.ns.25088)和“漏洞脚本下载器6039”(VBS.Downloader.ab.6039) 两个病毒。前者这个下载器很明显是仿照机器狗来制作的。它开始运行后,首先删除注册表中一些免疫机器狗病毒工具的启动信息,破坏目前已有的各类机器狗专杀 工具的运行,并修改系统时间为2003年,让依赖系统时间进行激活和升级的杀毒软件失效。后者是一个利用系统安全漏洞实施破坏行为的恶意脚本。这个病毒体 积非常小,可主要利用网页挂马和捆绑文件进行传播。它所利用的漏洞是Microsoft Data Access Components (MDAC) 中的实现缺陷。当它发现电脑系统中存在该漏洞时,就可以利用该漏洞绕开系统安全模块,擅自调用IE浏览器的进程,连接病毒作者指定的地址http: //www.me****b.com.tw/english/newly/image和http://www.li****me.com.tw/pic, 下载多个伪装成.jpg格式图片文件的病毒,存放到系统盘根目录和系统临时文件夹中。
根据本周病毒的传播特点,金山毒霸反病毒工程师建议:
1、请及时更新您的杀毒软件,网络版可以通过控制台执行全网升级。
2、建议手动或使用毒霸来关闭自动播放功能,防止病毒利用U盘等可移动设备来进行传播。
3、最好安装专业的杀毒软件进行全面监控。建议用户安装反病毒软件防止日益增多的病毒,用户在安装反病毒软件之后,应该经常进行升级、将一些主要监控经常打开(如邮件监控)、内存监控等,遇到问题要上报, 这样才能真正保障计算机的安全。 |
