安天7月第3周病毒报告:蠕虫嚣张更改桌面壁纸

表1

【51CTO.com 综合消息】本周第一位：   

Worm/Win32.AutoIt.r该病毒运行后，获取kernel32.dll基址，动态获取大量API函数地址，动态加载系统库文件uxtheme.dll，调用该库文件的"IsThemeActive"函数，获取系统版本号，动态加载系统库文件kernel32.dll，调用该库文件的IsWow64Process函数，查看操作系统是32位还是64位，获取系统版本信息之后释放到kernel32.dll,试图更改桌面壁纸，检测是否被处理调试状态，如果是则调用MessageBox弹出以下信息："This is a compiled AutoIt script. AV researchers please email avsupport@autoitscript.com for support."，调用SHGetDesktopFolder函数获得桌面文件夹的IShellFolder接口，注册一个窗口类名"AutoIt v3 GUI"及消息句柄"TaskbarCreated"，完成之后创建隐藏的窗口，调用函数创建一个WORD图标的托盘，调用函数进入消息循环一直到接收到WM_NULL则跳出循环，拷贝自身到%System32%目录下备份多个病毒副本，分别重命名为fjwfbnyobd.exe、bomlfdbivbryevg.exe、iabzajxe.exe、ogwcoyjfpfnjn.exe（全部为随机病毒名），并将属性全部隐藏，在%System32%目录下创建一个名为mydoc.rtf的WORD文件，调用函数创建大量病毒进程，循环打开多个mydoc.rtf文件，使系统速度大大下降，该病毒一旦运行之后将无法结束其进程直到系统资源耗尽导致死机。

重点关注：

Trojan/Win32.Magania.bijt[Stealer]。该恶意代码文件为机战游戏盗号木马，病毒运行后先删除预创建的病毒文件然后创建同名病毒文件分别复制到%System32%与%Windir%\fonts目录下，动态加载comres.dll系统库文件并释放掉模块句柄"hLibModule = 77020000"，动态加载sfc_os.dll系统库文件调用该库文件的#5序号函数去掉对comres.dll文件的保护，将comres.dll改名为dfc8ac3ed7da.dll，拷贝病毒DLL文件改名为comres.dll，调用病毒自定义的"jufndb4parsj"模块来提升进程权限，试图将病毒DLL注入到所有进程中，遍历激活状态的图片和传真、acdsee、记事本的窗体，找到后截取窗体内容以.jpg格式保存到临时目录下，添加注册表CLSID值及HOOK启动项，删除系统目录下的verclsid.exe文件，每隔1000ms读取注册表病毒键值是否存在如被删除则马上添加，防止病毒注册表项被删，安装消息钩子截取游戏账号密码以URL方式发送指定地址中，运行完毕后删除原病毒体文件。

专家建议：  

1.在任务管理器中查看是否有陌生以及可疑的进程存在。  

2.安装安天防线反病毒软件。  

3.及时打全系统补丁。   

4.及时关注各种应用软件的漏洞并及时更新到应用软件的最新版本。   

5.在需要输入游戏账号信息时，打开安天防线反病毒软件的实时监控功能。  

6.注意经常更新安天防线反病毒软件的病毒库来阻止被病毒感染。

手动查杀方法：

针对以上病毒，其病毒变种非常之多。其应用技术各不相同所以没有一个固定的手动查杀方法， 只能告诉用户一些基本的杀毒方法,针对微软XP用户：

1.断开网络连接，进行以下操作。

2.在“运行”中输入“msconfig”分别点击“启动”与“服务”标签。

3.查看是否有陌生程序的启动项，有则找到对应位置，使用安天防线反病毒软件查杀或手动删除。

4.打开“文件夹选项”中的查看隐藏文件等选项，这样可以看到隐藏的病毒体。如看不到隐藏文件表明注册表中显示隐藏文件项被修改，解决办法使用安天防线反病毒软件扫描或者手动修改。

5.对于使用移动设备时，请先用右键点击查看，是否有“自动运行”项，如有，在使用前用安天防线反病毒软件扫描。

下周病毒预测：   

从本周的趋势观察，及据安天实验室捕获统计，具有盗取能力的木马类和感染能力的病毒和蠕虫总体都有所上升，同时病毒类和蠕虫类也会伴有窃取用户信息的能力，提醒广大用户注意个人信息的保密，同时请用户及时升级病毒库，预防此类病毒侵袭。

专家预防建议：  

1.建立良好的安全习惯，不打开可疑邮件和可疑网站。   

2.不要随意接收聊天工具上传送的文件以及打开发过来的网站链接。  

3.使用移动介质时最好使用鼠标右键打开使用，必要时先要进行扫描。   

4.现在有很多利用系统漏洞传播的病毒，所以给系统打全补丁也很关键。   

5.安装专业的防毒软件升级到最新版本，并开启实时监控功能。   

6.为本机管理员帐号设置较为复杂的密码，预防病毒通过密码猜测进行传播，最好是数字与字母组合的密码。   

7.不要从不可靠的渠道下载软件，因为这些软件很可能是带有病毒的。  

8.下载软件后应用使用安天防线反病毒软件进行查杀，然后进行使用。