华军每周电脑病毒综合播报

　　

　　华军资讯提醒您：本周出现几种新的电脑病毒，值得大家高度重视，华军总结了几家病毒软件发布的重点病毒播报，希望大家加强防范，注意安全。

　　金山：

　　一、“FTP资源吸血鬼135168”(Win32.Hack.Agent.135168) 威胁级别：★★

　　此病毒拥有多个变种，且非常狡猾，它会伪装成Adobe Flash Player、Sun Java以及Windows操作系统的安全升级补丁。欺骗用户下载和复制。由于最近Flash漏洞问题对电脑安全影响较大，电脑用户们纷纷寻找升级补丁，这样一来，该毒变得更容易得手。

　　如果进入电脑系统，它就会释放出病毒文件、设置自己为开机自启动，然后弹出相应的提示，欺骗用户说安全补丁已经安装。

　　而实际上，病毒这时候已经运行起来。它在系统盘中读取%Document and Settings%\当前用户\Application Data\ 和 %Document and Settings%\All Users\Application Data\ 两个路径，并进一步从它们的下层路径里读取一些关键文件，从中获知用户系统中安装的FTP软件及其版本号(比如CuteFTP这样的工具)。

　　接着，它读取 %WINDOWS%\目录下的win.ini文件，从中获取另一个FTP相关文件的路径，然后读取该文件中所记录的FTP连接地址、用户名和密码信息。同时，它还会记录用户系统中与FTP有关的网页记录，将这些信息同之前偷到的信息一起，写入%WINDOWS%\目录下一个名为db32.txt的文档中，发送到病毒作者指定的地址。

　　毒霸可以完全查杀该毒。如果是习惯手动杀毒的用户，可以在%WINDOWS%\system32\目录中找到病毒主文件aspimgr.exe，而配置文件ws386.ini、db32.txt、s32.txt则在%WINDOWS%目录下。这些病毒文件都经过了加密。

　　关于该病毒的详细分析报告，可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-hack-agent-135168-50674.html

　　二、“武装下载器114688”(Win32.PSWTroj.OnlineGames.as.114688) 威胁级别：★

　　这个下载器程序具有一定的对抗能力，如果它进入系统，就破坏多款安全软件的运行，然后执行盗号。

　　它进入系统后首先释放出自己的病毒文件，文件有两个，一个是%WINDOWS%\system32\目录下的wininnet.nls，另一个是系统临时目录%temp%目录下的orz.exe。接着，就通过修改注册表中的数据，劫持系统中已安装的卡巴斯基、NOD32、毒霸等杀毒软件。

　　同时，它随机生成以6个字符命名的驱动文件，如生成随机字符失败则使用指定的字符“cafesvr”，创建驱动文件，再利用这个驱动去关闭其它厂家的安全软件的进程。部分具有所谓主动防御功能的杀毒软件，在此毒的进攻中将被解除武装，因为病毒会恢复系统SSDT表。

　　当执行完以上步骤，病毒就连接病毒作者指定的远程地址，下载一份病毒列表，以config.ini的名称保存到%WINDOWS%\system32\目录下。然后根据其中的地址下载更多其它病毒到用户电脑中执行。经毒霸反病毒工程师检查，这些病毒主要是网游盗号木马。

　　关于该病毒的详细分析报告，可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-pswtroj-onlinegames-114688-50675.html

　　点击下载金山软件

　　瑞星：

　　“小木马变种VTV(Trojan.DL.Win32.Small.vtv)”病毒：警惕程度★★★，木马病毒，通过网络传播，依赖系统：Windows NT/2000/XP/2003。

　　该病毒运行后将自身复制到系统目录中，修改注册表实现开机自动运行。病毒会关闭多种反病毒软件，造成这些软件无法正常使用。它会自动从黑客指定的网站下载病毒及木马文件并运行。这些下载的病毒及木马可能会盗取用户的账号及密码等个人信息并发送给黑客。

　　点击下载瑞星软件

　　江民：

　　病毒名称：Trojan/PSW.LMir.gwj

　　中 文 名