动物家园计算机安全咨询中心（www.kingzoo.com）反病毒斗士报牵手广州市计算机信息网络安全协会（www.cinsa.cn）发布：

本周重点关注病毒：


“断网病毒下载器”(Win32.VirInstaller.Mudrop.fc.139264)   威胁级别：★★

       这是一个下载者木马。该病毒运行后，会立即从网络上下载大量的病毒。并且关闭瑞星，金山，卡巴等杀毒软件。同时，它还发送大量的ARP欺骗数据干扰网络，造成用户无法正常上网。
       病毒运行后，先在系统盘的\windows\system32\drivers\目录和\windows\system32\Com\目录下分别释放出pcibus.sys及comrepl32.exe两个文件，然后将comrepl32.exe文件加入注册表，达到随系统启动而启动的目的。
      为防止被安全软件删除，病毒运行后立刻搜索瑞星、金山、天网、卡巴斯基、360安全卫士等安全软件的进程，一旦发现，便将其关闭，使用户的系统安全性大大降低，病毒便连接 http://www.9*****3.com/e*****sto.txt 这一地址，获得病毒列表，根据该文本文件里的病毒列表去下载更多病毒。同时，该病毒会在本机4444端口创建一个后门，通过该端口进行ARP操作，干扰用户上网。而且，黑客也可通过该后门进行远程连接，获取用户系统内的信息。
       除了以上行为，这个病毒还会搜索所有的非系统盘，感染所有以EXE为后缀的文件，造成用户无法正常使用被感染的EXE文件，给用户带来极大的损失。

流量劫持者”（Win32.Troj.VB.40960）  威胁级别：★★

   病毒运行后，在%Program Files%\Common files\目录下生成病毒文件l003.exe和bak.dat，随后，利用bak.dat将自身原始文件删除，避免被用户发现。接着，它修改注册表，加入一个名为“~@#”的启动项，并将该启动项指向到之前生成的l003.exe病毒文件，这样一来，每次用户启动系统时，病毒程序也随之启动。
    此病毒会挟持用户电脑上已安装的百度搜索，寻找IFrame，获取浏览器地址栏中的网址，搜索其中是否有木马制作者希望增加流量的网址。如有，便在其地址前面添加字符串"http://www.baidu.com/baidu?tn=05netcn_cb&word="后写回到地址栏，以此造成重复搜索，骗取搜索流量。
    同时，该病毒还会监视用户的进程操作，如发现冰刃等安全软件的窗口，就将其隐藏，阻止用户删除病毒本身。并将用户的进程信息发送到木马制作者指定的地址http://r******sp.host1.nuno.cn/count/dj.htm进行分析，从中获得用户个人隐私。此外，它还会不时弹出hxxp://www.kongfen.com/广告，干扰用户的正常上网。

"Rootkit25920"(Win32.TrojDownloader.HmirT.a.25920)   威胁级别：★

    该病毒是一个rootkit深层病毒。该病毒会通过调用一些函数，通过函数避免安全软件的监视和截获。并且还会在注册中建立新的病毒键值，其服务名为saiujrh38l。其对应的病毒文件路径为：%System32%\DRIVERS\saiujrh38l.sys。该病毒会监视userinit.exe和explorer.exe系统进程，当监测到有userinit.exe启动时，则会恶意修改注册表的runonce项，通过用户在下次启动系统时触发病毒，其病毒对应的路径为:%systemroot%\system32\55Id.dll。当病毒监测到有explorer.exe系统进程时，则创建一个新进程，其进程名为saiujrh38l.sys，对应路径是：%SystemRoot%\system32\drivers。

动物家园计算机安全咨询中心反病毒工程师建议：

   1、从其他网站下载的软件或者文件，打开前一定要注意检查下是否带有病毒。
  
   2、别轻易打开陌生人邮件及邮件附件、连接等。

   3、用户应该及时下载微软公布的最新补丁，来避免病毒利用漏洞袭击用户的电脑。

   4、尽量把系统帐号密码设置强壮点，勿用空密码或者过于简单。

   5、发现异常情况，请立即更新你的反病毒软件进行全盘查杀或者登陆bbs.kingzoo.com(安全咨询中心)咨询