安天6月第1周病毒周报:木马类病毒很嚣张

【51CTO.com 综合报道】

本周第一位：

从图看出Worm.Win32.Otwycal.g家族占据本周流行的病毒第一位。该病毒属蠕虫类，病毒运行后复判断进程列表中是否存在smss.exe进程，若不存在程序退出模块；判断程序是否为%DriveLetter%\MSDOS.bat，若是用资源管理器打开该驱动器后返回；删除文件%Windir%\Tasks\0x01xx8p.exe后，将自身移动到该位置，并更改为该文件名；检测进程中是否有avp.exe进程，如果有，修改系统时间为2004年1月1日9时1分，使卡巴主动防御过期失效，且每4000ms重新设置一次时间；修改当前进程的令牌权限，复制%System32%\spoolsv.exe到%Windir%\Tasks\poolsv.ext；修改%Windir%\Tasks\poolsv.ext，将最后一个节（.rsrc）节名改为.wycao，并在该节尾部写入病毒代码，复制%System32%\spoolsv.exe到%System32%\dllcache\spoolsv.exe,移动%System32%\spoolsv.exe到%Windir%\Tasks\poolsv.brk移动修改后的%Windir%\Tasks\poolsv.ext到%System32%\spoolsv.exe，移动成功后退出，否则删除文件%System32%\spoolsv.exe；移动修改后的%Windir%\Tasks\poolsv.ext到%System32%\spoolsv.exe

重点关注：

Trojan.Win32.Patched.v。该病毒属木马类，病毒图标为EXL文件格式图标，用以迷惑用户点击运行。病毒运行后复制自身到所有驱动器根目录下，文件名为sal.xls.exe，并衍生autorun.inf文件，以达到双击启动病毒的目的；复制自身到%system32%文件夹下，文件名分别为algssl.exe、msfir80.exe和msime80.exe；修改注册表，添加启动项，以达到随机启动的目的；锁定修改隐藏文件选项，无法显示隐藏文件。

专家建议：

1.在任务管理器中查看是否有陌生以及可疑的进程存在。
2.安装安天防线反病毒软件。
3.及时打全系统补丁。
4.及时关注各种应用软件的漏洞并及时更新到应用软件的最新版本。
5.在需要输入游戏账号停息时，打开安天防线反病毒软件的实时监控功能。
6.注意经常更新安天防线反病毒软件的病毒库来阻止被病毒感染。

手动查杀方法：

针对以上病毒，其病毒变种非常之多。其应用技术个不相同所以没有一个固定的手动查杀方法， 只能告诉用户一些基本的杀毒方法,针对微软XP用户：

1.断开网络连接，进行以下操作。
2.在“运行”中输入“msconfig”分别点击“启动”与“服务”标签。
3.查看是否有陌生程序的启动项，有则找到对应位置，使用安天防线反病毒软件查杀或手动删除。
4.打开“文件夹选项”中的查看隐藏文件等选项，这样可以看到隐藏的病毒体。如看不到隐藏文件表明注册表中显示隐藏文件项被修改，解决办法使用安天防线反病毒软件扫描或者手动修改。
5.对于使用移动设备时，请先用右键点击查看，是否有“自动运行”项，如有，在使用前用安天防线反病毒软件扫描。

下周病毒预测：

从本周的趋势观察，以及据安天实验室捕获统计本周知名网站及官方网站的挂马情况，未来一周内，盗取游戏账号类的木马病毒和下载者木马类病毒会有所增加。，请用户做好数据备份及时更新杀软的病毒库，以防止此类事件的发生。

专家预防建议：

1.建立良好的安全习惯，不打开可疑邮件和可疑网站。
2.不要随意接收聊天工具上传送的文件以及打开发过来的网站链接。
3.使用移动介质时最好使用鼠标右键打开使用，必要时先要进行扫描。
4.现在有很多利用系统漏洞传播的病毒，所以给系统打全补丁也很关键。
5.安装专业的防毒软件升级到最新版本，并开启实时监控功能。
6.为本机管理员帐号设置较为复杂的密码，预防病毒通过密码猜测进行传播，最好是数字与字母组合的密码。
7.不要从不可靠的渠道下载软件，因为这些软件很可能是带有病毒的。
8.下载软件后应用使用安天防线反病毒软件进行查杀，然后进行使用。

【相关文章】

• 览更多病毒周报