弓虽帖一封，请版主加精——一周病毒播报(11.05-11)

希望我今后每周能给大家来个总结，不过真正的目的是在于让大家认识到病毒是怎么危害我们的，以及应该如何防范，目的很好，不过做起来超级累，看在我不辞劳苦的份儿上，请过路的版主给加个精什么的哈！
来源：金山反病毒咨询中心

目录：

热点病毒咨询：XP系统反复注销
流行病毒现象：QQ上不请自来的骚扰/封锁耍流氓的火狐
病毒处理技巧：Auto.exe本周变种分析以及处理思路
毒霸防毒建议：禁止autorun自动加载
流行病毒列表：11.05-11.11毒霸发布的病毒预警
『热点病毒咨询』XP系统反复注销


    本周金山反病毒咨询中心大量接到XP系统反复注销的求助咨询，经过紧急联系用户获取病毒样本分析后是一款网银盗号木马，病毒名为：Win32.Troj.BankJp.a.221184。这是一个具有破坏性的木马病毒。会查找“个人银行专业版”的窗口并盗取网银账号密码，如招商银行等；该病毒还会替换大量系统文件，如userinit.exe、notepad.exe等。会引起进入系统时反复注销等问题。建议使用金山清理专家进行清除，并恢复userinit.exe等系统文件后再重起计算机，该病毒通过可移动磁盘传播。

金山反病毒咨询中心第一时间推出了XP系统反复注销的解决方案，详情参考毒霸论坛：
http://bbs.duba.net/thread-21843365-1-1.html

『流行病毒现象』QQ上不请自来的骚扰

本周QQPass类变种大量传播。相信许多用户对于QQ上面出现的各种广告以及令人难以入目的污言秽语早已经有些麻木甚至习以为常。这些病毒往往会利用人们的好奇心理以及出于人性的善良，用各种极端的措辞方式达到他们的盗号目的。

典型案例如下：

/////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

                   寻人启示
   陈星雨，女 16岁，于10月31号离家出走后至今未归，女儿失踪父母非常伤心，如知其下落或者见曾经过她的请联系QQ：794826716,求大家帮忙转发下
祝好人永远快乐.
她的照片地址：http://www.yfzone.cn/luck.rar  
重酬

我是帮她发的，太可怜了！
/////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////


在QQ群里面看到的消息，下载下来的压缩包解压后的图标为jpg格式系统默认的图标样式，如果平时有取消『隐藏已知文件类型的扩展名』的话，会清楚地看到该照片的扩展名为.exe而不是.jpg。虽然图片文件可以打包成.exe文件幻灯式播放，但是我想着急寻人的父母不会如此有闲情雅致地将女儿的照片做幻灯给别人欣赏吧？如果在这种情况下你还是不认为这个文件有问题的话，那么将其双击却没有任何图像出现。也许会打击一部分有好奇心理的用户吧。与此同时，毒霸的实时监控会弹出病毒拦截提示，提示的信息为：发现病毒在文件C:\Program Files\Internet Explorer\PLUGINS\WinSys8z.Sys中 Worm.QQPass.aq.45728 处理成功（操作：删除） 截图如下：





再使用毒霸或者清理专家的恶意软件扫描会有如下提示：




关于此类病毒木马的防范建议：

1.使用腾讯官方版本的QQ程序并保持更新QQ版本与漏洞补丁的习惯;
2.不要轻易点击他人发送的网页链接，不随意下载安装网上的未知应用程序；
3.定期修改QQ密码，并具备一定密码强度而非弱密码。如果对本地QQ聊天记录安全需求较高(如学校宿舍，公用办公环境等)可设置本地聊天记录密码;
4.保持杀毒软件的病毒库更新，定期杀毒以防范拦截相关恶意行为;
5.认真填写QQ密码保护资料，一旦丢失第一时间联系腾讯公司找回。

封锁耍流氓的火狐

最近一段时间零零散散地接到之前已经在论坛总结过的IE浏览器反复提示安装火狐的咨询，目前核实确有变种。如果用户之前在金山系统清理专家中开启过网页防挂马，便可以轻松拦截此类后台恶意行为。截图如下：




相关文章请参考：http://bbs.duba.net/thread-21841535-1-1.html

（注：批处理版本已经进行了一些修改，如无法解决请提交样本分析。）

『病毒处理技巧』Auto.exe本周变种分析以及处理思路

本周金山反病毒咨询中心接到auto.exe相关变种大量咨询，该变种关闭反病毒软件的文件监控并下载释放大量盗号木马从而造成用户经济财产损失。

以下是简单的分析和处理意见：

各个盘符留下autorun.inf和auto.exe释放以下文件

%systemroot%\system32\WSWSleak01.dll
%systemroot%\system32\WSWSleak02.dll
%systemroot%\302931MM.DLL
%systemroot%\AVPSrv.exE
%systemroot%\cmdbcs.exe
%systemroot%\DbgHlp32.exe
%systemroot%\GenProtect.eXE
%systemroot%\IGM.exe
%systemroot%\Kvsc3.exE
%systemroot%\LotusHlp.exe
%systemroot%\mppds.exe
%systemroot%\msccrt.exe
%systemroot%\MsIMMs32.exE
%systemroot%\MsPrint32D.exe
%systemroot%\NVDispDRV.EXE
%systemroot%\upxdnd.exe
%systemroot%\system32\4C794C0B.DLL
%systemroot%\system32\A81B8626.EXE
%systemroot%\system32\AVPSrv.dll
%systemroot%\system32\cmdbcs.dll
%systemroot%\system32\DbgHlp32.dll
%systemroot%\system32\GenProtect.dll
%systemroot%\system32\k119461565416.exe
%systemroot%\system32\Kvsc3.dll
%systemroot%\system32\LotusHlp.dll
%systemroot%\system32\LYLOADER.EXE
%systemroot%\system32\LYMANGR.DLL
%systemroot%\system32\mppds.dll
%systemroot%\system32\msccrt.dll
%systemroot%\system32\MSDEG32.DLL
%systemroot%\system32\MsIMMs32.dll
%systemroot%\system32\MsPrint32D.dll
%systemroot%\system32\NVDispDrv.dll
%systemroot%\system32\svchostzamj.exe
%systemroot%\system32\upxdnd.dll
%systemroot%\system32\zamjdll.DLL
%systemroot%\system32\zamjhook.DLL

其中大多数文件修复文件夹选项的注册表锁定后，进入安全模式后搜索最近生成的隐藏以及系统属性的文件可以看到并且直接删除。
下面两个文件无法直接删除，使用金山文件粉碎器粉碎即可。如图所示：
%systemroot%\system32\WSWSleak01.dll
%systemroot%\system32\WSWSleak02.dll







『毒霸防毒建议』禁止autorun自动加载



目前通过U盘等可移动存储介质的传播的病毒。Windows系统默认开启了自动播放功能，大大增加了病毒木马通过该方式成功入侵用户主机的几率。建议用户使用金山系统清理专家的『自动运行管理工具』定向禁止硬盘、光驱、软驱、可移动存储介质的自动播放功能。Windows组策略里面的禁止方法比较单一，并且不太适合电脑初学者操作。截图如下：






『流行病毒列表』11.05-11.11毒霸发布的病毒预警




注：附件中的压缩包是本周毒霸发布病毒预警的详细信息，如有相关需要可以自行下载。