每日病毒及木马播报(2008-04-10)

日期：2008-04-10

病毒名称：VBS.AutoRun.al.11164

病毒类型：木马下载器

危害指数：1

传播途径：网页木马/文件捆绑

传播平台：WIN9X/WINME/WINNT/Windows 2000/Windows XP/Windows 2003


这是一个能自动传播的病毒下载器。它会设置系统时间至2003年，导致依赖系统时间的杀毒软件失效，然后从病毒作者指定的地址下

载木马程序执行。

1.病毒运行后，生成以下病毒文件
%systemroot%\system32\.vbs
%systemroot%\system32\wbem\.vbs

2.修改注册表超级隐藏项和自启动项
修改HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced以达到隐藏自身的目的
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run\
路径指向%systemroot%\system32\`.vbs,以实现自启动

3.会在U盘和本地硬盘的根目录创建autorun.inf文件,以实现自动播放

5.修改系统时间至2003年致使avp失效

6.从http://2**3.cn/x*W/X1.ASP下载木马程序到%systemroot%\system32\.exe并执行

==================================================================

病毒名称：Win32.TrojDownloader.Delf.745472

病毒类型：木马程序

危害指数：2

传播途径：网页木马/文件捆绑

传播平台：WIN9X/WINME/WINNT/Windows 2000/Windows XP/Windows 2003

这是一个ARP病毒程序。该病毒运行时，会欺骗局域网内所有主机和路由器，让所有上网的流量必须经过病毒主机。在这个过程中，

用户网速将受到很大的影响，甚至完全断线。

1.程序运行后，生成文件
C:\WINDOWS\Cache
C:\WINDOWS\Cache\Arpmm.exe
C:\WINDOWS\system32\packet.dll
C:\WINDOWS\system32\wanpacket.dll
C:\WINDOWS\system32\wpcap.dll
C:\WINDOWS\system32\drivers\npf.sys

2.删除病毒自身文件

3.在注册表中添加了注册项，如下：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ArpInsert "C:\WINDOWS\Cache\Arpmm.exe" 设置为自启动

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\npf ImagePath system32\drivers\npf.sys 注册为服务，可以自启动

4.该病毒运行时，会欺骗局域网内所有主机和路由器，让所有上网的流量必须经过病毒主机。

其他用户原来直接通过路由器上网现在转由通过病毒主机上网，切换的时候用户会断一次线。



墨者安全专家建议：

1.建议已安装其他杀毒软件的用户，下载并安装墨者安全专家版，并开启“革离术”保护自己的杀毒软件，和其它计算机安全软件不

会被此病毒所关掉，和破坏。以保障所使用的计算机安全防护软件能正常的运行和所有功能的正常使用。

2.点击墨者安全专家控制台——选择漏洞补丁——选择禁止优盘光驱自动运行。

3.请开启墨者安全专家的“革离术”进行实时防护，并使用系统安全漏洞中心，检查系统漏洞，发现漏洞请点击“修复”完成漏洞修补。

4.保持使用墨者安全豪华版套装中的正版趋势反病毒专家，进行对系统病毒经常扫描的习惯，发现病毒或者隐患及时清除。

5.请将墨者安全豪华版中的正版趋势反病毒专家的自动升级功能开启，保持自动更新为最新病毒库，保证病毒及木马的及时发现及清除。