[01-15] 每日计算机病毒及木马播报

寒江独钓

核心提示：据瑞星全球反病毒监测网介绍，今日有一个病毒特别值得注意，它是：“下载器蠕虫变种MU（Worm.Win32.DownLoad.mu）”病毒。该病毒会伪装自己为微软系统文件，关闭很多杀毒软件，以躲避对其查杀，然后链接一个网站下载大量木马到本机运...
  据瑞星全球反病毒监测网介绍，今日有一个病毒特别值得注意，它是：“下载器蠕虫变种MU（Worm.Win32.DownLoad.mu）”病毒。该病毒会伪装自己为微软系统文件，关闭很多杀毒软件，以躲避对其查杀，然后链接一个网站下载大量木马到本机运行，导致清除病毒困难。

本日热门病毒：

“下载器蠕虫变种MU（Worm.Win32.DownLoader.mu）”病毒：警惕程度★★★，蠕虫病毒，通过网络传播，依赖系统：Windows NT/2000/XP/2003。

    病毒运行后，病毒会伪装自己为微软系统文件spoolsv.exe，伪造微软文件spoolsv.exe的版本信息，并且替换微软的文件spoolsv.exe。病毒运行后会把系统文件spoolsv.exe移动到C盘根目录下改名为ttmm.tep。检查安全软件的进程，如果有就结束掉，然后对大多数安全软件的文件名进行映像劫持，以躲避杀毒软件对其的查杀。然后在每个盘和移动盘创建文件AUTORUN.INF和ZGZF.PIF，达到双击盘符运行病毒的目的。修改注册表启动项，达到开机自动运行的目的。最后连接网站http://www.xxxx.com，下载大量木马病毒，然后存放在C:\Documents and Settings\目录下，其中一个下载后存放在C:\Program Files\目录下，此病毒容易反复感染，彻底清除困难。

    反病毒专家建议电脑用户采取以下措施预防该病毒：1、安装瑞星全功能安全软件2009和卡卡上网安全助手,并及时升级，瑞星全功能安全软件2009每天至少升级三次；2、使用卡卡上网安全助手的“漏洞扫描与修复”，打好补丁，弥补系统漏洞；3、不浏览不良网站，不随意下载安装可疑插件；4、不接收QQ、MSN、Email等传来的可疑文件；5、上网时打开杀毒软件实时监控功能；6、把网银、网游、QQ等重要软件加入到“瑞星账保险柜3.0”中，可以有效保护密码安全

 
江民今日提醒您注意：在今天的病毒中Trojan/PSW.Magania.mea“玛格尼亚”变种mea和Trojan/NetBot.f“毒波”变种f值得关注。

英文名称：Trojan/PSW.Magania.mea
中文名称：“玛格尼亚”变种mea
病毒长度：106842字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.Magania.mea“玛格尼亚”变种mea是“玛格尼亚”木马家族中的最新成员之一，采用高级语言编写，并且经过加壳保护处理。“玛格尼亚”变种mea运行后，会自我复制到被感染计算机系统的“%SystemRoot%\system32\”目录下，重新命名为“kxvo.exe”，同时还会在该目录下释放木马组件“kxvo*.dll”，并设置文件属性为“系统、只读、隐藏”。“玛格尼亚”变种mea会插入到“explorer.exe”进程中，从而实现木马组件的调用运行。该木马组件是一个专门盗取“游戏橘子”会员账号的木马程序，会在被感染计算机的后台秘密监视用户打开的所有网页窗口，一旦发现用户打开“游戏橘子”的登录窗口便会通过键盘钩子、鼠标钩子技术截取用户输入的会员账号、密码等信息，并在后台将窃取到的玩家机密信息发送到骇客指定站点（地址加密存放）上，给“游戏橘子”游戏玩家造成了不同程度的财产损失。同时，“玛格尼亚”变种mea还会尝试结束部分安全软件进程，并利用鼠标模拟点击的方式绕过某些安全软件的主动防御功能，提高了自身的生存几率。另外，“玛格尼亚”变种mea会在被感染计算机系统注册表启动项中添加键值，以此实现木马的开机自启动。

英文名称：Trojan/NetBot.f
中文名称：“毒波”变种f
病毒长度：94208字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/NetBot.f“毒波”变种f是“毒波”木马家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写。“毒波”变种f运行后，会在被感染计算机系统的“%SystemRoot%\system32\”目录下释放木马程序“ntserver.exe”和恶意DLL功能组件“ntserver.dll”，并同时修改这两个文件的创建时间为系统安装日期，以此来蒙蔽用户。调用IE进程，并将自身代码注入到其中运行，隐藏自我，防止被轻易地发现和查杀。“毒波”变种f是一个通过指定的IRC服务器接收骇客指令的木马，侦听骇客指令，从不同站点下载大量恶意程序并调用运行。其中，所下载的恶意程序可能是具有窃取用户账号的木马或远程监控等功能的后门，致使被感染计算机用户面临着更多潜在的威胁。另外，“毒波”变种f会自我注册为系统服务，实现木马开机自动运行。