悠悠我心 2008-5-20 19:39
word遭病毒 “办公室伪装者”频繁作案
[size=2]5月19日,金山毒霸全球反病毒监测中心发布周(5.19-5.25)病毒预警。本周广大用户需高度警惕一名为“办公室伪装者394240”[/size]
[size=2][/size]
[size=2](Win32.TrojDownloader.Banload.394240)的电脑病毒。该病毒可采用微软 OFFICE办公软件中的word图标,伪装成word主程序欺骗用户忽略它。[/size]
[size=2][/size]
[size=2]同时还将下载大量木马文件到用户电脑上执行,引发更多无法估计的安全事件。[/size]
[size=2] [/size]
[size=2]金山毒霸反病毒专家李铁军表示,此病毒为一个木马下载器,它的狡猾之处在于,它会采用微软 OFFICE办公软件中的word图标,[/size]
[size=2][/size]
[size=2]伪装成word主程序欺骗用户忽略它。病毒进入电脑后,复制自身到c:\Documents~1\Administrator\[开始]菜单\程序\启动\word.exe,[/size]
[size=2][/size]
[size=2]以及c:\Documents~1\new\[开始]菜单\程序\启动\word.exe目录下,同时修改系统注册表中的相关数据,使病毒可以随系统启动。[/size]
[size=2] [/size]
[size=2]接着,从E盘开始到I盘,病毒在系统各分区下释放病毒副本,李铁军判断,这是它在试图建立AUTO文件。[/size]
[size=2][/size]
[size=2]但由于技术原因,或者病毒作者的粗心,AUTO文件没能建立。[/size]
[size=2][/size]
[size=2]最后,病毒在后台悄悄连接多个挂马网页,下载大量木马文件到用户电脑上执行,引发更多无法估计的安全事件。[/size]
[size=2] [/size]
[size=2]据了解, 本周内广大用户除了要高度警惕“办公室伪装者394240”外,[/size]
[size=2][/size]
[size=2]还需要特别关注“仿真机器狗”(Win32.Troj.Downloader.ns.25088)和“漏洞脚本下载器6039”(VBS.Downloader.ab.6039) 两个病毒。[/size]
[size=2][/size]
[size=2]前者这个下载器很明显是仿照机器狗来制作的。它开始运行后,首先删除注册表中一些免疫机器狗病毒工具的启动信息,[/size]
[size=2][/size]
[size=2]破坏目前已有的各类机器狗专杀工具的运行,并修改系统时间为2003年,让依赖系统时间进行激活和升级的杀毒软件失效。[/size]
[size=2][/size]
[size=2]后者是一个利用系统安全漏洞实施破坏行为的恶意脚本。这个病毒体积非常小,可主要利用网页挂马和捆绑文件进行传播。[/size]
[size=2][/size]
[size=2]它所利用的漏洞是Microsoft Data Access Components (MDAC) 中的实现缺陷。当它发现电脑系统中存在该漏洞时,就可以利用该漏洞绕开系统安全模块,[/size]
[size=2][/size]
[size=2]擅自调用IE浏览器的进程,连接病毒作者指定的地址[url]http://www.me[/url]****b.com.tw/english/newly/image和[url=http://www.li****me.com.tw/pic]http://www.li****me.com.tw/pic[/url],[/size]
[size=2][/size]
[size=2]下载多个伪装成.jpg格式图片文件的病毒,存放到系统盘根目录和系统临时文件夹中。[/size]
[size=2] [b] [/b][/size]
[size=2][b]根据本周病毒的传播特点,金山毒霸反病毒工程师建议:[/b][/size]
[size=2] [/size]
[size=2]1、请及时更新您的杀毒软件,网络版可以通过控制台执行全网升级。[/size]
[size=2] [/size]
[size=2]2、建议手动或使用毒霸来关闭自动播放功能,防止病毒利用U盘等可移动设备来进行传播。[/size]
[size=2] [/size]
[size=2]3、最好安装专业的杀毒软件进行全面监控。建议用户安装反病毒软件防止日益增多的病毒,用户在安装反病毒软件之后,[/size]
[size=2][/size]
[size=2]应该经常进行升级、将一些主要监控经常打开(如邮件监控)、内存监控等,遇到问题要上报, 这样才能真正保障计算机的安全。[/size]
[size=2] [/size]
[size=2]同时,金山毒霸反病毒应急中心及时进行了病毒库更新,升级毒霸到2008年5月19日的病毒库即可查以上病毒;如未安装金山毒霸,[/size]
[size=2][/size]
[size=2]可以登录[url=http://www.duba.net/][color=#0000ff]http://www.duba.net[/color][/url]免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵,[/size]
[size=2][/size]
[size=2]拨打金山毒霸反病毒急救电话010—82331816反病毒专家将为您提供帮助。[/size]
