瑞星一周播报（2007.3.5—2007.3.11）

“死神”病毒降临 破坏杀毒软件狂下病毒

　　本周一个名为“死神下载器（Trojan.DL.Sudead.a）”的病毒特别值得关注。该病毒通过优盘传播，会偷偷在后台自动下载其它的病毒、木马，给用户信息安全带来更大威胁。

死神下载器（Trojan.DL.Sudead.a） 警惕程度 ★★★☆

　　它是一个能在WIN9X/NT/2000/XP系统上运行的木马病毒。运行后会将自身复制到各个分区的根目录下，以通过优盘进行传播。该病毒运行后会从黑客指定的网站下载其它的病毒及木马，下载的这些恶意程序会窃取用户的网络游戏帐号、密码等信息，给用户的信息安全带来更大威胁。该病毒还会造成多种主流杀毒软件及个人防火墙软件无法正常使用，使用户计算机的安全系数降低。

专家建议

　　1、建立良好的安全习惯，不打开可疑邮件和可疑网站；

　　2、很多病毒利用漏洞传播，一定要及时给系统打补丁；

　　3、安装专业的杀毒软件、升级到最新版本，并打开实时监控程序；

　　4、安装带有“木马墙”功能的个人防火墙软件，防止密码丢失。

　　5、登陆http://tool.ikaka.com下载并安装免费的瑞星卡卡3.2，并开启“IE防漏墙”功能，防止病毒通过IE漏洞侵入计算机。

出处：瑞星公司

提高警惕 新的病毒再次威胁商业网络

　　安全技术公司警告说Rinbot或者Delbot病毒的最新变种开始迅速蔓延了。

　　最近人们发现一种新的计算机病毒，周四的时候，该病毒攻击了某个美国集团公司的至少一个部门。据说，这种病毒的制造者很可能是对赛门铁克这样的提供杀毒软件的世界五百强公司怀有私人恩怨的黑客。

　　技术专家提醒人们，如果它传播开来，那么这种阴险的Rinbot病毒变种就能够劫持全世界各处的企业的网络系统。

　　新变种

　　“我们认为最新的这种病毒是2005年3月首次出现的Rinbot的第七个版本。”Cluley说。

　　Cluley称，这个版本的病毒能够利用防毒软件中的安全漏洞来进行攻击。

　　“以往，黑客们总是寻找微软防毒程序的漏洞。但现在他们更多地把目标转向其它一些常用软件比如赛门铁克的或者其它公司的，”他说。

　　Cluley说，这个变种病毒专门攻击MS SQL服务器。它会寻找运行着微软Windows操作系统的网络，比如运行着Windows 2000，Windows 95，Windows 98，Windows Me，Windows NT，还有Windows XP系统的那些网络。然后，它利用诸如密码过于简单这样的弱点来通过网络传播。

    被劫持

　　一旦这种病毒侵入了计算机，Cluley说，它会迅速传播并且控制很多计算机以便将网络变成僵尸网络或者“行尸”网络。

　　“黑客将在你不知情的情况下，使用你的计算机来发送垃圾邮件，或者发布Dos攻击，或者甚至是敲诈其他的网站。曾经有个案例就中，黑客敲诈一个赌博网站，并声称如果站点不支付数千美金的话，他们将让该站点的系统崩溃数日。”

　　Cluley警告人们说该病毒不受地域限制。“它会在人们毫不知情的情况下运行，非常隐秘狡猾。”

　　特纳广播系统，它是时代华纳的一个分支并且是CNN和CNNMoney.com的母公司，对外证实说他们的系统在周四的时候被病毒袭击了。

　　“某种病毒感染了我们的网络，我们正在积极寻找解决办法，”该公司发言人Shirley Powell说。

　　赛门铁克的IT专家Thomas Parsons证实说，Rinbot的最新变种病毒已经盯上了赛门铁克的防毒软件了。

　　“我们不能确定他们的动机是什么，但是我们知道有个黑客曾经将自己写的指令加入到了该变种中，”Parsons说。那个黑客用这些代码让人们了解到，他不认同赛门铁克把该病毒叫做 RINBOT 。

vista将决定计算机病毒发展趋势

　　据国外媒体报道，知名安全软件厂商卡巴斯基（Kaspersky）日前在一份报告中，微软的新一代操作系统Windows Vista将决定着计算机病毒未来的发展趋势。

　　据英国媒体报道，卡巴斯基预计，Windows Vista对计算机病毒在未来几年内的发展中将起着决定性作用。卡巴斯基在一份报告中称：“尽管计算机病毒在短期内还不可能发生巨变，但Vista将决定其发展趋势。”

　　卡巴斯基研究人员Alexander Gostev此前曾表示，尽管目前Vista比其他版本的Windows系统安全，但随着Vista的日益流行，它将成为黑客的主要攻击目标。

　　Gostev说：“问题是Vista的漏洞何时能够被发现，而不是存在与否。”随着Windows Vista的逐渐普及，当前90%的计算机病毒将来都可以感染Vista系统。

　　该报告同时指出，将来，针对OSX和Unix等其他系统的病毒数量也会明显增加。此外，索尼、微软和任天堂的游戏机也可能难逃病毒攻击。

下载并执行多个病毒的木马下载器

　　一、“顶狐下载者”变种 A(Win32.Troj.TpxDown.a) 威胁级别：

　　病毒特征：该病毒是一个木马下载器，它会连接到指定的网址，在用户计算机上下载并执行多个木马程序。这些木马病毒会对用户计算机进行多种危险操作，危害电脑的系统安全。

　　发作症状：该病毒运行后，会把自身复制为wdfmgr32.exe。修改注册表，实现随开机自动启动。当用户IE启动时，自动连接到h**p://bugger.cn/**/ppzt.exe等多个站点下载并运行多个木马病毒。

　　二、“佐珀之门”变种 DH(Win32.Hack.DropDoor.dh) 威胁级别：

　　病毒特征：该病毒会在用户的电脑系统里释放另一个后门程序，并自动弹出一个“阿里巴巴（中国）购物搜索”的窗口，来误导用户以为运行了正常的程序。黑客主机能连接到特定的恶意后门端口，完全接管受感染电脑的全部功能，监视用户对电脑的一切操作活动，给用户的电脑系统安全及信息数据带来极大的危害。

　　发作症状：该病毒运行后，会释放一个病毒名为Win32.Hack.NNCAttach.fd.16896的后门程序。修改注册表，实现随开机自动启动。此外，它会在用户电脑系统中开放一个连接端口，连接成功后，受感染机器就可以完全受控于黑客。

　　反病毒建议：

　　1.建立良好的安全习惯。对一些来历不明的邮件及附件不要打开，不要上一些不太了解的网站、不要执行从Internet下载后未经杀毒软件处理的文件，这些才能确保您的计算机更安全。

　　2.网络的发展，用户电脑遭受黑客攻击的问题也趋于严重，许多网络病毒都采用了黑客的方法来攻击用户电脑，因此，用户还应该安装个人防火墙软件进行防黑。

从电子邮件入手 截断熊猫烧香入侵黑手

　　“熊猫烧香”的作者落网了，主犯也被抓了几个，解毒程序更是在进一步鉴定中。似乎针对“熊猫烧香”病毒的斗争一切都在向着很好的方向发展，真的是这样么？

　　解毒程序不是万能的！时至今日，“熊猫烧香”病毒的新变种还在不断出现，继续危害着计算机用户。

　　在与瑞星专家的访谈中我们知道熊猫烧香病毒传播主要是以感染的网页文件和邮件传播为主，病毒代码多数藏匿在网页文件代码中，多数携带此类病毒的网页文件都以广告宣传种类居多，通过邮件群发的方式在网上肆意扩散，造成计算机系统的瘫痪，严重妨碍了人们的正常工作和学习。

　　敏讯科技防病毒技术人员建议，“熊猫烧香”病毒通过网页文件、邮件发送等方式感染到计算机系统，除了有效的安装专业的杀毒软件，升级到最新版本杀毒外，更主要的是对病毒传播源头开始进行彻底清理，否则没有显著的效果来对付“熊猫烧香”病毒的滋生泛滥。针对网页文件的感染需要做到不要随意点击不明的网页地址链接，浏览网站时，务必打开计算机系统中防病毒软件的“网页监控”功能。

　　而针对通过邮件群发方式传播“熊猫烧香”病毒，敏讯科技针对病毒邮件发送源头进行彻底的拦截查杀。针对病毒邮件发送服务器联机的时间、频率、规则，虚假的smtp路由信息、动态IP等多种具备垃圾邮件典型行为的特征准确判断，从而对病毒邮件发送行为进行深入探测，精确区分每一封病毒邮件。这种技术能够追踪到病毒邮件的原始传递信息、爆发信息，实施 “空中拦截”方式把可疑病毒邮件拦截到“EQManager邮件网关”，而不用下载到邮件服务器传播到用户的计算机系统，从而保障了用户计算机系统的安全使用。

　　另据介绍敏讯科技的“EQAVSE邮件防病毒系统”是敏讯科技自主研发的专业邮件防病毒产品，它嵌入的EQManager邮件安全网关的“查杀病毒邮件”模块，每天都会自定义升级病毒策略库，实时在线查杀病毒邮件，在线检测技术、扫描速度、文档修复、软件功能等多方面功能，全方面对病毒文件查杀处理。

　　从电子邮件入手，切断“熊猫烧香”入侵线路。防病毒、防垃圾邮件两手齐动，多方位保护我们系统的安全，拒绝熊猫烧香入侵的黑手。