【51CTO.com 独家报道】51CTO安全频道今日提醒您注意：在明天的病毒中“PE远程后门844800”、“AUTO病毒15598”、“下载突击兵”、“刘亦菲相册”和“Win32/Dowque.GI”都值得关注。

一、明日高危病毒简介及中毒现象描述：

◆“PE远程后门844800” PE的意思是可移植的执行体，即portable executable，这是windows下广泛存在的一个32位的文件格式，PE病毒指的自然也就是感染这类文件的病毒。由于需要自己设置比较复杂的函数调用方式，PE病毒成为一些病毒作者用以炫耀自己技术的产品，在这样的情况下，PE病毒层出不穷。

毒霸的反病毒工程师昨日处理的病毒中，就有一个PE病毒。它传播的方式是随着被感染的文件进入用户电脑，而当用户运行被感染的文件时，就会将其激活。

病毒被激活后，会立即运行起来。它将被感染的文件重新拆成正常文件和自己的病毒文件~ZY7.tmp，并把它们释放到系统临时文件夹中运行。由于文件会正常运行，用户一般难以发现自己电脑已经中毒。而这时，那个独立的病毒文件除了会搜寻别的正常文件进行感染外，还会试图打开用户的系统后门。原来，它是一个远程控制后门程序。当病毒成功开启后门，木马种植者（黑客）就能远程控制用户的电脑，进行任何想要的系统操作，甚至盗取用户的个人隐私和商业资料。

经毒霸反病毒工程师的分析，被感染后的文件入口地址被改到最后一个节表的病毒代码处执行，关键病毒代码被加密，前面一段代码就是解密后面的加密指令。病毒作者试图以此阻止安全软件的查杀，但毒霸仍可彻底清除该毒，因此已安装毒霸的用户们大可放心。不过，还是要再次提醒大家，在进行下载和接收他人从网上发来的文件时，最好用杀毒软件进行一下扫描，防止感染型病毒的潜入。

◆“AUTO病毒15598” 随着U盘等移动存储设备价格降低，越来越多人养成随身携带U盘的习惯，一些病毒作者看准这一点，制作出大量可利用U盘传播的AUTO病毒。在毒霸反病毒分析师昨日处理的病毒中，就有不少AUTO病毒，我们选出其中传播倾向较高的一个，为大家介绍其破坏原理。

此病毒进入系统后，在%WINDOWS%\system32\目录下释放出一个隐藏属性的病毒文件Dser.exe ，为防止用户恢复文件显示模式后发现该文件，病毒还将这个文件伪装成“系统”文件，试图迷惑用户。

接着，它判断系统盘%WINDOWS%\system32\drivers\目录下是否有 klif.sys 这个文件。这个文件其实是杀毒软件卡巴斯基的一部分，如果病毒找到这个文件，就会修改当前系统时间为 1981-01-12 ，令依赖系统时间进行升级和激活的卡巴斯基失效。

病毒继续运行。它创建线程，查找窗口标题名为“IE 执行保护”、“IE执行保护”、“瑞星卡卡上网安全助手 - IE防漏墙”的窗口。如发现，则向其发送鼠标消息，模拟用户点击鼠标发出的命令，将其关闭。以阻止用户获知系统中的异常。

在病毒运行的后期，它在后台悄悄连接http:/ /www.8**ao***mm.bj.cn 这个由木马种植者指定的地址，下载一批名称为 123.exe 至 128.exe 编号的木马文件，给用户的系统安全引来更多无法估计的威胁。

此外，为扩大传染范围，病毒在电脑的每个磁盘分区下都创建AUTO病毒文件 autorun.inf 和 Dser.exe，只要用户双击磁盘或在中毒电脑上使用U盘等移动存储设备，病毒就会被再次激活，搜寻所有磁盘进行感染。

毒霸反病毒分析师建议用户利用清理专家中的自动运行管理工具，关闭移动设备的自动运行，这样可以极大地阻止病毒利用U盘进行传播。

◆“下载突击兵”病毒运行后自动在后台加载，到指定站点下载病毒文件。下载后的病毒文件自动运行并释放文件。下载病毒已木马居多，可以盗取多种游戏的帐号和密码，同时利用间谍木马监视用户的重要信息。其传播主要是通过捆绑和网络的网站挂马进行传播，建议用户在浏览网站尽量浏览可信度高的网站，下载文件时尽量到知名网站下载，下载后的文件用反病毒软件进行扫描。

◆“刘亦菲相册” 该病毒以相册图标作为自己的图标，并命名为刘亦菲写真集，诱使用户点击。，病毒运行后，衍生文件到系统目录下%\Documents and Settings%\Local Settings\Temp\RarSFX0\2.exe文件，衍生文件图标冒充Windows Media Player图标。如若用户种此病毒机器会被黑客控制，重要信息被盗。该病毒主要的传播方式是通过网站论坛传播、邮件和即使通讯工具传播。建议用户不要接收不名来历的传输文件和邮件。

◆Win32/Dowque.GI是一种盗窃敏感信息的特洛伊病毒。

运行时，Win32/Dowque.GI复制到以下位置，病毒文件属性为隐藏、系统属性：

%Program Files Common%\Microsoft Shared\MSINFO\stay.exe

%System%\ _stay.exe

Dowque.GI生成两个隐藏程序"calc.exe" 和 "iexplore.exe"，并将病毒注入到这两个程序中。

病毒危害：

发送敏感信息。

建议：

不要随意运行exe文件；

设置强壮的管理员帐号。

二、针对以上病毒，51CTO安全频道建议广大用户：

1、最好安装专业的杀毒软件进行全面监控并及时升级病毒代码库。建议用户将一些主要监控经常打开，如邮件监控、内存监控等，目的是防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。

2、请勿随意打开邮件中的附件，尤其是来历不明的邮件。企业级用户可在通用的邮件服务器平台开启监控系统，在邮件网关处拦截病毒，确保邮件客户端的安全。

3、企业级用户应及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒。另外为保证企业信息安全，应关闭共享目录并为管理员帐户设置强口令，不要将管理员口令设置为空或过于简单的密码。

截至记者发稿时止，金山、安天、冠群金辰的病毒库均已更新，并能查杀上述病毒。感谢金山毒霸、冠群金辰和安天为51CTO安全频道提供病毒信息。

【相关文章】

• 更多病毒日报

• 更多病毒周报