Word遭病毒偽裝 "辦公室偽裝者"頻繁作案

金山毒霸反病毒專家李鐵軍表示，此病毒為一個(gè)木馬下載器，它的狡猾之處在于，它會(huì)采用微軟 OFFICE辦公軟件中的Word圖標(biāo)，偽裝成Word主程序欺騙用戶忽略它。病毒進(jìn)入電腦后，復(fù)制自身到c:\Documents~1\Administrator\[開始]菜單\程序\啟動(dòng)\word.exe，以及c:\Documents~1\new\[開始]菜單\程序\啟動(dòng)\word.exe目錄下，同時(shí)修改系統(tǒng)注冊(cè)表中的相關(guān)數(shù)據(jù)，使病毒可以隨系統(tǒng)啟動(dòng)。

接著，從E盤開始到I盤，病毒在系統(tǒng)各分區(qū)下釋放病毒副本，李鐵軍判斷，這是它在試圖建立AUTO文件。但由于技術(shù)原因，或者病毒作者的粗心，AUTO文件沒能建立。最后，病毒在后臺(tái)悄悄連接多個(gè)掛馬網(wǎng)頁，下載大量木馬文件到用戶電腦上執(zhí)行，引發(fā)更多無法估計(jì)的安全事件。

據(jù)了解， 本周內(nèi)廣大用戶除了要高度警惕“辦公室偽裝者394240”外，還需要特別關(guān)注“仿真機(jī)器狗”（Win32.Troj.Downloader.ns.25088）和“漏洞腳本下載器6039”（VBS.Downloader.ab.6039） 兩個(gè)病毒。前者這個(gè)下載器很明顯是仿照機(jī)器狗來制作的。它開始運(yùn)行后，首先刪除注冊(cè)表中一些免疫機(jī)器狗病毒工具的啟動(dòng)信息，破壞目前已有的各類機(jī)器狗專殺工具的運(yùn)行，并修改系統(tǒng)時(shí)間為2003年，讓依賴系統(tǒng)時(shí)間進(jìn)行激活和升級(jí)的殺毒軟件失效。后者是一個(gè)利用系統(tǒng)安全漏洞實(shí)施破壞行為的惡意腳本。這個(gè)病毒體積非常小，可主要利用網(wǎng)頁掛馬和捆綁文件進(jìn)行傳播。它所利用的漏洞是Microsoft Data Access Components (MDAC) 中的實(shí)現(xiàn)缺陷。當(dāng)它發(fā)現(xiàn)電腦系統(tǒng)中存在該漏洞時(shí)，就可以利用該漏洞繞開系統(tǒng)安全模塊，擅自調(diào)用IE瀏覽器的進(jìn)程，連接病毒作者指定的地址http://www.me****b.com.tw/english/newly/image和http://www.li****me.com.tw/pic，下載多個(gè)偽裝成.jpg格式圖片文件的病毒，存放到系統(tǒng)盤根目錄和系統(tǒng)臨時(shí)文件夾中。

根據(jù)本周病毒的傳播特點(diǎn)，金山毒霸反病毒工程師建議：

1、請(qǐng)及時(shí)更新您的殺毒軟件，網(wǎng)絡(luò)版可以通過控制臺(tái)執(zhí)行全網(wǎng)升級(jí)。

2、建議手動(dòng)或使用毒霸來關(guān)閉自動(dòng)播放功能,防止病毒利用U盤等可移動(dòng)設(shè)備來進(jìn)行傳播。

3、最好安裝專業(yè)的殺毒軟件進(jìn)行全面監(jiān)控。建議用戶安裝反病毒軟件防止日益增多的病毒，用戶在安裝反病毒軟件之后，應(yīng)該經(jīng)常進(jìn)行升級(jí)、將一些主要監(jiān)控經(jīng)常打開（如郵件監(jiān)控）、內(nèi)存監(jiān)控等，遇到問題要上報(bào)， 這樣才能真正保障計(jì)算機(jī)的安全。

服務(wù)器租用/服務(wù)器托管中國五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]