2008年3月17日至3月23日计算机病毒预报

　　病毒名称：“蓝屏木马下载器36864”（Win32.TrojDownloader.Winlagons.gi）

　　危害程度：中

　　受影响的系统: Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP, Windows Server 2003

　　未受影响的系统: Windows 3.x, Macintosh, Unix, Linux

　　病毒危害：

　　1.在系统盘中释放病毒文件

　　2.修改注册表，添加病毒启动项

　　3.破坏杀毒软件，下载病毒

　　4.系统资源会被占用蓝屏死机

　　感染形式：

　　这是一个木马下载器程序。该程序会关闭一些常见的杀毒软件和安全辅助软件，并修改IE首页内容，启动IE从木马种植者指定网址下载别的木马。随着被下载到电脑中的木马越来越多，系统将无法承受庞大的资源占用，几分钟后，它就可能崩溃。在进入用户电脑后，它把自己的病毒文件winlugan.exe释放到系统盘的%WINDOWS%\system32\目录下，并将其写入注册表启动项，让自己能够在每次电脑开机时都跟着跑起来。如果能顺利运行，病毒就对%WINDOWS%\system32\wbem\Repository\FS\目录下的INDEX.BTR、MAPPING.VER、MAPPING1.MAP、OBJECTS.DATA、OBJECTS.MAP等文件进行数据删改，使得自己掌握对系统命令的控制权。同时，它抢先查找并关闭金山毒霸、麦咖啡、东方微点、卡巴斯基等杀毒软件，以及安全辅助软件360安全卫士的进程，让自己的行动更加自由。完成以上动作后，病毒就在后台建立远程连接，从http://5y*rscon**a*t.com这个由木马种植者指定的地址下载包括盗号木马在内的大量恶意程序到用户电脑上运行，给用户造成无法预计的损失。由于下载数量大、并且盗号木马进入系统后一窝蜂地注入系统进程，将导致电脑系统被严重占用，几分钟后蓝屏死机。

　　预防和清除：

　　最好安装专业的杀毒软件进行全面监控，防范日益增多的病毒。用户在安装反病毒软件之后，应及时升级修补操作系统相应的漏洞补丁和某些应用程序中相应的漏洞补丁。

　　病毒名称：“网游盗号木马94315”（Win32.Troj.OnlineGamesT.e）

　　危害程度：中

　　受影响的系统: Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP, Windows Server 2003

　　未受影响的系统: Windows 3.x, Macintosh, Unix, Linux

　　病毒危害：

　　1．释放出病毒文件

　　2．关闭防病毒软件的注册表监视窗口

　　3．利用内存读取的方式盗取它们的帐号信息

　　4．发送到木马种植者指定的多个远程地址

　　感染形式：

　　这是一个盗号木马。它通过创建注册表启动项实现开机自启动，然后创建线程关闭“卡巴斯基”和“瑞星”两款杀毒软件的相关提示窗口。最后查找并盗取网络游戏《大话西游3》、《破天一剑》、《惊天动地》的帐号信息。进入系统后，它释放出两个病毒文件，分别是%WINDOWS%目录下的DbgHlp32.exe和%WINDOWS%\system32\目录下的DbgHlp32.dll，并修改注册表实现自启动。接着，此病毒会查找并关闭卡巴斯基和瑞星的注册表监视窗口，切断杀毒软件与用户之间的联系——这是当然，既然要偷你的东西，肯定就不能让你察觉。病毒注入系统桌面进程explorer.exe的空间，建立全局监视，查找《大话西游3》、《破天一剑》、《惊天动地》的进程，然后利用内存读取的方式盗取它们的帐号信息并发送到木马种植者指定的多个远程地址。给用户造成虚拟财产的损失。

　　预防和清除：

　　建立用户一定要养成良好的网络使用习惯，及时升级杀毒软件，开启防火墙以及实时监控等功能，切断病毒传播的途径，不给病毒以可乘之机。

　　病毒名称：“IRC肉鸡311296”（Win32.Hack.SdBot）

　　危害程度：中

　　受影响的系统: Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP, Windows Server 2003

　　未受影响的系统: Windows 3.x, Macintosh, UNIX, Linux

　　病毒危害：

　　1.在系统盘释放病毒文件

　　2.修改注册表启动项实现自动启动

　　3.连接木马作者指定的IRC聊天服务器

　　4.记录用户的键盘动作，使用户财产受到损失

　　感染形式：

　　这是一个黑客后门程序，它利用IRC聊天工具进行传播，然后在用户电脑上制造后门，使病毒作者可以对中毒电脑进行非法远程控制。当病毒进入用户电脑后，它会将病毒文件klog.txt和SERVICE.EXE释放到系统盘的%WINDOWS%\system32\目录下，并修改注册表启动项实现自动启动。随后，该木马主动连接木马作者指定的IRC聊天服务器，使木马作者能以“聊天”的方式不断地向中毒电脑发送命令。其中对用户危害较大的主要命令有记录用户的键盘动作、抓取用户的屏幕、下载文件、向远端计算机发起DOS攻击、自我更新、关闭指定的进程、开启用户机器上的默认共享、将获取的用户信息发送给指定邮箱等。

　　预防和清除：

　　养成良好的上网习惯比如不要随便接收别人发给的文件和过于贪图IRC上的免费资源。建议电脑用户不要随便运行来历不明的文件，以免中毒受害。平时上网的时候一定要打开防病毒软件的实时监控功能。