瑞星一周播报（2006.11.27—2006.12.3）

流氓软件7939升级为病毒 改写首页感染文件

　　本周有一个名为“流氓软件7939（Win32.Dgent）”的病毒特别值得注意。它是一个流氓软件的最新变种，会强制修改用户的浏览器首页，同时还会感染可执行文件，已经具有了病毒的特征。

本周关注病毒 ：流氓软件7939（Win32.Dgent） 警惕程度 ★★★☆

　　这是一个能在WIN9X/NT/2000/XP系统上运行的病毒，通过恶意网站及感染可执行文件传播。病毒运行后，会强制将用户浏览器首页修改为“www.7939.com”，并且无法恢复。该病毒会感染系统EXE可执行文件，会造成某些系统蓝屏、死机。它还会在每周二在后台自动升级，对抗杀毒软件查杀。

专家建议

　　1、登陆tool.ikaka.com免费下载瑞星卡卡3.0软件；

　　2、点击“立即升级”按钮，升级到最新版本，重新启动计算机。

　　3、使用杀毒软件进行杀毒。 没有安装杀毒软件的用户，可以点击瑞星卡卡3.0界面上的“瑞星免费专杀工具”，下载“流氓软件7939”专杀工具进行查杀。

出处：瑞星公司

直面僵尸网络威胁

　　此前美国爆出一个头条新闻：黑客攻击了宾夕法尼亚的一家水处理厂，并且控制了那里的服务器。后来发现情况并没有想象中的严重，原来是该厂一名员工的笔记本电脑中了病毒，病毒又传给了服务器，服务器就被一个僵尸网络控制了，而这个僵尸网络仅仅是用来发垃圾邮件的。

　　终于松了一口气。但是再想一想：这有什么值得庆幸的呢？

　　僵尸网络的威胁日益严峻。尽管可以实施拒绝服务攻击的僵尸网络现在仅仅被用来发送垃圾邮件，这只是因为垃圾邮件才是这些僵尸网络操纵者的收入来源。

　　我们一直没有过多地担心僵尸网络带来的危害。事实上，僵尸网络发送的大量垃圾邮件困扰着企业，但我们的努力仅限于保证系统不受病毒侵害，仅此而已。

　　我们并没有尽力弥补网吧、企业和家庭用户，以及互联网和软件提供商的安全漏洞。而正是这些漏洞让僵尸网络得以迅速发展。但这是它们的问题，与我们无关，是吗？

　　也许，在潜意识中，我们认为僵尸网络的操纵者不过是群骗子，他们的行为不过是以赚钱为目的的。因此我们对僵尸网络的蔓延听之任之。现在僵尸网络已经蔓延到公共网络的各个角落。它们并非在寻找什么特别的东西，而仅仅是为了占领更多的地盘。因此，它们将遛进任何没有上锁的大门和没有保安的入口。

　　如果说它们是寄生虫，也属于智能寄生虫。它们不会像旧式的电脑病毒通过格式化硬盘而害死自己的寄主。恰恰相反，它们安静地在幕后工作，干些小偷小摸的勾当，不断地侵害我们的基础设施。

　　在这一方面，它们自诩完美。但我们并不担心，因为我们知道他们仅仅在依靠发送垃圾邮件赚钱。

　　如果我们这样想就太愚蠢了。如果他们把进入其他电脑的途径高价卖掉呢？如果这个买家突然攻击成千上万的服务器呢？

　　也许你会说这不可能发生，那些见钱眼开的僵尸网络的操纵者是不会杀了这只会生金蛋的鸡的。但如果不是普通的买家，而是一个疯狂的资本家，一个可以操纵大型僵尸网络的网络恐怖分子呢？

　　僵尸网络的基础设施已经形成了，这是我们任其发展的结果。现在是要求政府、法律制定者、企业和软件制造商采取行动的时候了。我们不希望看到僵尸网络渗透进重要的基础设施。我们不应放松警惕，而是应该坚决地铲除僵尸网络，以及造成其蔓延的安全漏洞。

木马病毒将泛滥 变种伪装成文件借U盘传播

　　近期，一个名为VB木马变种VQY（Trojan.VB.vqy）的病毒很猖狂，该病毒会伪装成Excel 表格文件，通过优盘、移动硬盘等移动存储设备传播。

    据介绍，VB木马变种VQY是一个能在WIN9X/NT/2000/XP系统上运行的蠕虫病毒，通过优盘、移动硬盘等传播。

    该病毒通过伪装，显示为微软表格软件Excel的图标，诱骗其打开。病毒运行后会将自身复制到Windows目录下，文件名为“svchost.exe”、“FileKan.exe”等。同时，它还会试图通过优盘传播，其他用户插入带有此病毒的优盘、移动硬盘等就会被感染。病毒会试图窃取用户的QQ账号、密码等并发送给黑客。

    反病毒专家建议，为防止该病毒侵袭，使用优盘等移动存储设备时，务必要做到先查毒后打开。另外，平时一定要养成良好的安全习惯，安装并升级杀毒软件到最新版本，同时开启实时监控程序防范病毒入侵。

黑客利用维基网站散播恶意软件

　　鉴于黑客们利用了广受欢迎的维基百科来传播恶意代码，SophosLabs的专家，Sophos的全球病毒网络，间谍软件以及垃圾邮件分析中心提醒计算机用户警惕那些主动提供给你的邮件以及在互联网上访问的所有东西。

　　任何人都可以在维基创建和修改文章，这种开放政策过去通常会被搬弄是非的人指责。维基德文版de.wikipedia.org上的一篇文章，就是黑客们利用这一点而创建的。他们声称该文章包含的一个链接是连接到某个修正程序，它可以对付冲击波蠕虫病毒的某个假想的新版本。但其实，该程序是一段用以感染访问者计算机的恶意代码。

　　黑客们散发了一封垃圾邮件给德国的计算机用户，要求他们访问维基百科，然后把他们导向关于“新蠕虫”的信息。Sophos的全球垃圾邮件陷阱网络截取了该垃圾邮件，这样Sophos的反垃圾邮件方案就使用户们免于接收这些垃圾邮件。

　　“好消息是，维基的权威人士很快发现了他们站上的文章并且修改了该文章，”Sophos高级技术顾问Graham Cluley说。“但不幸的是，前一个版本的网页仍然存在于存档中，会继续将人们导引到恶意代码所在地。因此，黑客们仍能发送垃圾邮件诱导人们访问维基上的这个网页，从而使用户被感染。”

　　维基现在已经证实，它已经彻底将网页存档文件删除了。

　　“正是像维基这样的站点的开放性—允许任何人编辑页面—使这些站点成为很了不起的站点，但同时又使它们不被人们信赖。在这件事中，维基站点上的文章不只是误导了人们，它根本就是恶意的，”Cluley继续说。“人人都应当小心谨慎，确保他们有适当的防御措施来保护系统。另外，人们应当牢记，如果互联网上真的有新的威胁，你应当最先从安全公司得到消息，而不是线上的百科全书。”

　　Sophos建议各公司加强安全方案，保护好自己的计算机，服务器以及网关免受病毒，间谍软件，钓鱼软件以及垃圾邮件的威胁。

木马出现新变种 中毒电脑自动下载恶意程序

　　国家计算机病毒应急处理中心说，近日木马出现新变种。

　　该变种在受感染的计算机系统中运行后，将其自身伪装成计算机系统的正常文件存于系统目录中，使得计算机用户很难察觉到，并通过互联网从指定网站或是服务器上下载恶意程序，同时修改计算机用户浏览器的设置，使其访问浏览网页时会转向浏览指定的恶意网站。该变种还会在计算机用户操作系统中的桌面、开始菜单、快速启动栏、收藏夹等位置上添加一些网站的广告信息，给正常操作带来不便。

　　针对上述木马新变种情况，专家建议计算机用户采用如下防范措施：

　　1、不要轻易点击运行从互联网上下载后未经防病毒软件处理过的程序文件，最好先用升级过的防病毒软件对下载的程序文件进行扫描，然后再点击运行它。

　　2、在浏览网页时将操作系统浏览器的安全级别设置为高，同时打开防病毒软件的实时监控功能。