瑞星一周播报（2006.8.28—2006.9.3）

魔波”病毒肆虐 大量宽带用户上网掉线

本周，有两个病毒特别值得注意，它们是“魔波（Worm.Mocbot.a）”和“魔波变种B（Worm.Mocbot.b）”病毒。这两个病毒利用微软系统漏洞进行传播，目前已有数千用户遭受到它们的攻击。

本周关注病毒：魔波、魔波变种B（Worm.Mocbot.a/b）警惕程度 ★★★★

该病毒会利用微软MS06-040高危漏洞进行传播。会自动在网络上搜索具有系统漏洞的电脑，只要这些用户的电脑没有安装补丁程序并接入互联网，就有可能被感染。当用户的计算机遭受到该病毒攻击时，会出现系统服务崩溃，无法上网等症状。感染该病毒的计算机会自动连接特定IRC服务器的特定频道，接受黑客远程控制命令。用户的银行卡帐号、密码及其它隐私信息都有可能被黑客窃取。

专家建议

1、使用瑞星个人防火墙暂时关闭TCP139和445端口；

2、登陆微软网站（http://www.microsoft.com/china/technet/security/bulletin/MS06-040.mspx）下载并安装补丁程序；

3、升级瑞星杀毒软件2006至最高版本进行杀毒。

出处：瑞星公司

针对AMD微处理器蠕虫病毒诞生 攻击嵌入底层

　　美国安全公司赛门铁克最近发现了两个专门针对AMD公司处理器、而不是某个操作系统的蠕虫病毒。安全专家称病毒作者正在“深入系统底层”。

　　这两个蠕虫针对32位版和64位版的AMD公司微处理器，赛门铁克公司称之为w32.bounds和 w64.bounds。不过，该公司表示，迄今为止，尚无发现针对AMD处理器的病毒，这两个蠕虫病毒证明了“攻击CPU”的可行性，因为在早期阶段，两个蠕虫的危害程度并不大。

　　赛门提可公司安全响应集团的负责人维森特·魏复（Vincent Weafer）对Vnunet网站表示，虽然暂时的威胁并不大，但是这两个蠕虫是一个“出发点”，未来的黑客将会利用这个“证据”开发出更多攻击处理器而不是操作系统的病毒。

　　魏复说：“如果我可以深入到处理器级别，那么，将来我可以进入到核心硬件层次，我可以逃避操作系统的内核保护或者用户保护。一些病毒作者肯定会觉得做到这样的水平很值的荣耀。”

　　魏复表示，如果出现这种情况，病毒作者可以访问任何系统资源，他们可以说是为所欲为。

　　不过，这位安全专家也表示，这种方式的攻击行动将会带有一定的难度，因为在客观上，一款处理器现实中可以和很多中操作系统相配合，“讲述不同的操作系统预言”，这将会限制病毒作者的行动。

国内发现带有感染文件特性的盗号病毒

　　国家计算机病毒应急处理中心27日说，国内近期发现一个带有感染文件特征的盗号病毒。

　　据了解，这一病毒会释放窃取网络游戏的模块，使玩家的账号、密码等资料被窃取。跟其他的盗号病毒不同的是，该病毒会搜索计算机系统上所有正在运行的文件程序，并修改计算机系统内部的关键指令，使用户在被感染病毒的计算机系统上运行任何程序都会遭受到病毒的感染，加大了病毒的清除难度。

　　针对这个盗号病毒专家建议从以下三方面进行防范：

　　1、安装防病毒软件并及时升级病毒库，同时打开实时监控功能避免病毒入侵。

　　2、定期对计算机系统进行全面的磁盘查毒工作。

　　3、给计算机系统安装带有防木马功能的个人防火墙软件，防止账号、密码被窃取。

计算机病毒“里拉”27日发作

　　如果你的电脑屏幕中央显示椭圆图案，并自动打开网页www.avril-lavigne.com，屏幕左上角还显示一串外文字符，看上去像一句留言，那么你很可能中了一种名叫“里拉”的蠕虫病毒。

　　该病毒具有木马功能，邮箱密码、QQ密码，以及网上银行账户、密码等信息均可能因此泄漏。

木马变种病毒猖狂 帐号密码相当危险

　　北京信息安全测评中心、金山毒霸联合发布2006年08月26日病毒。提醒用户特别注意以下病毒：“密码大盗变种 ei”（Troj.MimaThief.ei）和“游戏大盗变种 fo”（Troj.PSWGamania.fo）

　　“密码大盗变种 ei”（Troj.MimaThief.ei）木马病毒，记录用户使用各种登陆窗口时录入的帐号和密码并发送到指定邮箱。

　　“游戏大盗变种 fo”（Troj.PSWGamania.fo）木马病毒，在Windows平台下盗取网络 在线游戏帐号密码的盗号型木马。

　　另据瑞星全球反病毒监测网介绍，今日有一个病毒特别值得注意，它是：“天堂木马变种 LEO （Trojan.PSW.Lineage.leo）”病毒。该病毒会窃取用户的账号、密码等隐私信息，并会自动从黑客指定的网站下载其它的病毒、木马及恶意程序等。

　　“密码大盗变种 ei”（Troj.MimaThief.ei）  威胁级别： ★

　　据金山毒霸反病毒工程师介绍，这是一个盗取用户登陆窗口时录入帐号和密码的木马。该病毒将其自身复制到 %system% 目录下并运行，并设置相应文件属性为只读、隐藏和系统属性；在注册表中添加自启动项。该病毒可记录用户使用各种登陆窗口时输入的帐号和密码，并发送到指定邮箱。

　　“游戏大盗变种 fo”（Troj.PSWGamania.fo）  威胁级别： ★

　　据金山毒霸反病毒工程师介绍，该病毒为Windows平台下的网络在线游戏盗号木马。病毒运行时将自身伪装成系统正常文件使用户难以察觉，并在后台监视和记录相关网游的帐号、密码，成功获取后将其重要信息发送给病毒作者。病毒主要通过网络欺骗方式进行传播。

　　金山反病毒工程师建议

　　1.请不要轻易运行从Internet下载后未经杀毒软件处理的文件，强烈建议您先用最新病毒库的毒霸进行扫描，然后决定是否运行。

　　2.当操纵者控制用户电脑时，就可直接导致用户的信息被泄露， 为了您系统和个人信息的安全，专家建议用户在打开一个陌生文件时，请用最新病毒库的杀软进行扫描。

　　“天堂木马变种 LEO（Trojan.PSW.Lineage.leo）” 病毒：警惕程度 ★★★ ，木马病毒，通过网络传播，依赖系统：WIN 9X/NT/ME/2000/XP/2003。

　　该病毒采用FSG加壳处理，运行后会将自身复制到程序目录下的“Internet Explorer”目录中，文件名为“WinHook.jmp”，同时还会释放一个名为 “WinHook.sys” 的文件。该病毒会在注册表中添加启动项目，实现随系统启动自动运行。它还会自动在后台下载其它的 网络游戏 木马到系统的临时文件目录中并运行，使用户的隐私信息、账号、密码等遭受更大的威胁。

　　反病毒专家建议电脑用户采取以下措施预防该病毒：建立良好的安全习惯，不打开可疑邮件和可疑网站；关闭或删除系统中不需要的服务；很多病毒利用漏洞传播，一定要及时给系统打补丁；安装专业的防毒软件进行实时监控，平时上网的时候一定要打开防病毒软件的实时监控功能。