病毒名称：Win32.XinCrak Family
疯狂性：低
破坏性：中
普及度：中
Win32.XinCrak Family 病毒描述
Win32/XinCrak是一族特洛伊病毒，在被感染机器上作为一个服务被加载。XinCrak还会终止与安全软件相关的进程。
运行时，Win32/XinCrak复制到被感染机器上，并作为一个服务被加载。XinCrak显示以下服务名称：
Net Manager
iCafe Service
snpshot
Win32.XinCrak Family 病毒危害
下下载并运行任意文件；
修改注册表设置；
修改文件；
修改进程。
建议：
不要随意运行EXE文件；
系统设置强壮的管理员口令。

病毒名称
Trojan-Downloader.Win32.Small.sso
捕获时间
2008-06-11
病毒摘要
    该样本是使用VC编写的下载程序，由微点主动防御软件自动捕获，程序未加壳，长度为8,704字节，图标为

，病毒扩展名为exe，主要通过网页木马、文件捆绑的方式传播，病毒主要下载其他病毒程序。
感染对象
Windows 2000/Windows XP/Windows 2003
传播途径
网页木马、文件捆绑
安全提示
　　已安装使用微点主动防御软件的用户，无须任何设置，微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本，微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版，微点主动防御软件在发现该病毒后将报警提示您发现“未知木马”，请直接选择删除处理（如图1）；

　 如果您已经将微点主动防御软件升级到最新版本，微点将报警提示您发现" Trojan-Downloader.Win32.Small.sso”，请直接选择删除（如图2）。

　　对于未使用微点主动防御软件的用户，微点反病毒专家建议：
1、不要在不明站点下载非官方版本的软件进行安装，避免病毒通过捆绑的方式进入您的系统。
2、尽快将您的杀毒软件特征库升级到最新版本进行查杀，并开启防火墙拦截网络异常访问，如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。
3、开启windows自动更新，及时打好漏洞补丁。


病毒分析
　　该样本程序被执行后，使用API函数GetModuleFileNameA获取当前模块文件名，之后依次与“userinit.exe”、“internat.exe”、“ctfmon.exe”、“explorer.exe”四个文件名进行比较，如果与其中一个相同则使用API函数WinExec运行%SystemRoot%\system32\dllcache目录下相同文件名的系统程序，以迷惑用户使用户误认为当前被运行程序是正常系统程序；
　　开启两线程：一线程用来隐藏“Windows 文件保护”窗口，一线程遍历进程查找“360safe.exe”、“360tray.exe”将其关闭；
　　访问恶意网址“hxxp://z1.5w5w5w.com/bt.txt”使用相关API函数将其他病毒程序下载到本地%Temp%并运行，用来盗取用户网络游戏帐号、密码以及其他私人信息；如果下载成功则遍历进程查找“avp.exe”，如果找到则修改系统时间试图使其不能正常使用。

Win32.Cutwail.EA 病毒特征
病毒名称：Win32.Cutwail.EA
疯狂性：低
破坏性：中
普及度：中
Win32.Cutwail.EA 病毒描述
Win32/Cutwail.EA是一种带有rootkit功能的特洛伊病毒，能够修改系统的winlogon.exe文件。它可能用来下载并运行任意文件，将它们保存到磁盘或者注入其它的程序。同时，这些文件被用来发送大量的邮件和更新Cutwail的最新变体。
Cutwail运行时生成%Windows%\System32\main.sys文件。
Win32.Cutwail.EA 病毒危害
下载并运行任意文件；
发送大量的邮件；
Rootkit 功能。
建议：
不要随意运行EXE文件；
系统设置强壮的管理员口令。 
不要随意运行邮件的附件，尤其是英文邮件。
最好及时升级病毒代码库。
建议企业级用户使用网关型产品。
关闭共享目录并为管理员账户设置强口令，不要将管理员口令设置为空或过于简单的密码。

病毒名称(中文):图片下载器339968


病毒别名:



威胁级别:★☆☆☆☆


病毒类型:木马下载器


病毒长度:339968



影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003



病毒行为:
这是一个下载者病毒。它伪装为jpg格式的图片文件，欺骗用户点击。运行起来后，会修改系统日期，造成一些杀毒软件失效。然后就下载并运行大量其它病毒。
1.释放病毒文件
C:\WINDOWS\system32\vq201a5.dll
C:\WINDOWS\system32\drivers\7zotrcmy.sys
C:\WINDOWS\system32\drivers\p0s7tw6r.sys
2.创建键值，建立服务，可以自启动
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\7zotrcmy
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\7zotrcmy Type dword:00000001
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\7zotrcmy Start dword:00000000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\7zotrcmy ErrorControl dword:00000001
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\7zotrcmy ImagePath hex(2):53,79,73,74,65,6d,33,32,5c,44,52,49,56,45,52,53,5c,37,7a,6f,74,72,63,6d,79,2e,73,79,73,00,
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\7zotrcmy DisplayName "7zotrcmy"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\p0s7tw6r
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\p0s7tw6r Type dword:00000001
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\p0s7tw6r Start dword:00000002
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\p0s7tw6r ErrorControl dword:00000001
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\p0s7tw6r ImagePath hex(2):5c,3f,3f,5c,43,3a,5c,57,49,4e,44,4f,57,53,5c,73,79,73,74,65,6d,33,32,5c,64,72,69,76,65,72,73,5c,70,30,73,37,74,77,36,72,2e,73,79,73,00,
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\p0s7tw6r DisplayName "p0s7tw6r"
3.病毒会用cmd命令删除自身
4.伪装为jpg图片文件类型，点击后运行起来，系统日期被更改，杀毒软件失效，下载大量病毒，然后运行下载病毒。

   据瑞星全球反病毒监测网介绍，今日有一个病毒特别值得注意，它是：“安德夫木马变种HLI（Trojan.Win32.Undef.hli）”病毒。该病毒通过网络传播，病毒会从黑客指定网站下载各种木马、病毒等恶意程序，给用户计算机安全带来威胁。

本日热门病毒：

“安德夫木马变种HLI（Trojan.Win32.Undef. hli）”病毒：警惕程度★★★，木马病毒，通过网络传播，依赖系统：Windows NT/2000/XP/2003。

    这是一个木马病毒。病毒运行后会将自身文件复制到系统目录下，并修改注册表启动项，实现随系统自启动。病毒会将自身注入到系统正常进程，给用户查杀病毒带来困难。此外，病毒会试图关闭多种杀毒软件和安全工具，并会纪录用户键盘和鼠标操作，窃取用户的网游的帐号、密码等隐私信息，并发送给黑客，使玩家蒙受损失。

　　“FTP资源吸血鬼135168”（Win32.Hack.Agent.135168），这是一个用于盗窃FTP资源的盗号木马。病毒经过了复杂的加密，试图阻止反病毒软件厂商的查杀。如果运行起来，它就会从用户系统中的FTP相关软件（比如CuteFTP这样的工具）中盗取用户保存的FTP连接地址、帐号信息等敏感数据，然后发送到病毒作者指定的地址。

　　“武装下载器114688”（Win32.PSWTroj.OnlineGames.as.114688），这是一个木马下载器。它不需创建任何启动项就可运行，会破坏多款安全软件的正常运行，然后从病毒作者指定的网址下载大量的木马程序。

　　一、“FTP资源吸血鬼135168”（Win32.Hack.Agent.135168）  威胁级别：★★

　　此病毒拥有多个变种，且非常狡猾，它会伪装成Adobe Flash Player、Sun Java以及Windows操作系统的安全升级补丁。欺骗用户下载和复制。由于最近Flash漏洞问题对电脑安全影响较大，电脑用户们纷纷寻找升级补丁，这样一来，该毒变得更容易得手。

　　如果进入电脑系统，它就会释放出病毒文件、设置自己为开机自启动，然后弹出相应的提示，欺骗用户说安全补丁已经安装。

　　而实际上，病毒这时候已经运行起来。它在系统盘中读取%Document and Settings%\当前用户\Application Data\ 和 %Document and Settings%\All Users\Application Data\ 两个路径，并进一步从它们的下层路径里读取一些关键文件，从中获知用户系统中安装的FTP软件及其版本号（比如CuteFTP这样的工具）。

　　接着，它读取 %WINDOWS%\目录下的win.ini文件，从中获取另一个FTP相关文件的路径，然后读取该文件中所记录的FTP连接地址、用户名和密码信息。同时，它还会记录用户系统中与FTP有关的网页记录，将这些信息同之前偷到的信息一起，写入%WINDOWS%\目录下一个名为db32.txt的文档中，发送到病毒作者指定的地址。

　　毒霸可以完全查杀该毒。如果是习惯手动杀毒的用户，可以在%WINDOWS%\system32\目录中找到病毒主文件aspimgr.exe，而配置文件ws386.ini、db32.txt、s32.txt则在%WINDOWS%目录下。这些病毒文件都经过了加密。

　　关于该病毒的详细分析报告，可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-hack-agent-135168-50674.html

　　二、“武装下载器114688”（Win32.PSWTroj.OnlineGames.as.114688）  威胁级别：★

　　这个下载器程序具有一定的对抗能力，如果它进入系统，就破坏多款安全软件的运行，然后执行盗号。

　　它进入系统后首先释放出自己的病毒文件，文件有两个，一个是%WINDOWS%\system32\目录下的wininnet.nls，另一个是系统临时目录%temp%目录下的orz.exe。接着，就通过修改注册表中的数据，劫持系统中已安装的卡巴斯基、NOD32、毒霸等杀毒软件。

　　同时，它随机生成以6个字符命名的驱动文件，如生成随机字符失败则使用指定的字符“cafesvr”，创建驱动文件，再利用这个驱动去关闭其它厂家的安全软件的进程。部分具有所谓主动防御功能的杀毒软件，在此毒的进攻中将被解除武装，因为病毒会恢复系统SSDT表。

　　当执行完以上步骤，病毒就连接病毒作者指定的远程地址，下载一份病毒列表，以config.ini的名称保存到%WINDOWS%\system32\目录下。然后根据其中的地址下载更多其它病毒到用户电脑中执行。经毒霸反病毒工程师检查，这些病毒主要是网游盗号木马。

　　“愤怒肉鸡19825”（PE.Trafaret.a.19825），这是一个黑客远程工具。它利用感染正常的exe格式文件来进行传播。会利用中毒计算机来执行黑客指定的行为，攻击其它电脑。

　　“远程木马97280”（Win32.Sality.v.97280），这个病毒是个远程后门程序。它利用感染其它文件来实现传播，进入用户电脑系统后就连接危险的远程网址，等待黑客命令。

　　一、“愤怒肉鸡19825”（PE.Trafaret.a.19825） 威胁级别：★★

　　被这个病毒感染的exe文件，体积会有所增大，文件的启动入口被修改为到病毒的后面。这样，当用户运行被感染文件时，病毒就能运行起来。它首先解密自己的文件，将主文件Services.exe释放到%WINDOWS%目录下。然后立即调用正常文件运行，让用户察觉不出系统异常。

　　被释放出的Services.exe，会使用当前系统信息计算得到一个随机名称的文件夹，然后把自己复制到里面。这个随机文件夹会被创建在%WINDOWS%\system32\目录下。接着，病毒就修改注册表，添加该文件为启动项，让自己实现开机自动运行。并且它会不停的重写注册表，防止自己的数据被破坏。

　　如果能顺利运行起来，病毒就枚举当前进程，若发现主流安全软件及反病毒工作者常用的解密工具的进程，便尝试强行停止它们。随后，它检查自身携带的下载列表，开始更新自身文件。

　　当更新完成，病毒会读取最新的的IP地址表，向里面的地址不断发送访问命令，从而影响这些网址的正常运作。这很明显属于DDNO网络攻击，是一种黑客行为。

　　与此同时，病毒启动感染线程，在中毒电脑上寻找正常的exe文件，将它们感染，以便等待下一次的传播。

　　二、“远程木马97280”（Win32.Sality.v.97280） 威胁级别：★

　　此病毒文件会搜索正常的exe文件进行感染。当用户运行了被感染文件，病毒就会经过一些变形和垃圾指令的跳转及两层的解密，然后执行真正有危害的病毒代码。病毒作者这样的安排，是希望阻止反病毒工作者的查杀。

　　病毒在系统盘%WINDOWS%\system32\文件夹下释放出压缩文件an438864.dl_，并将其中的an438864.dll文件解压到同级目录下。然后将dll文件注入系统进程。另一个病毒文件hjrhjo.sys会被释放到%WINDOWS%\system32\drivers\目录中。

　　病毒会不停的中断系统时间，造成那些依赖系统时间激活和运行的安全软件失灵，并建立增加全局监视，记录下用户在电脑中输入的全部消息，以及鼠标在屏幕上的运行。之后，病毒就连接多个病毒作者指定的远程地址，将记录到的信息发送上去，同时等待黑客的下一步命令。

病毒名称
Worm.Win32.AutoRun.ecv
捕获时间
2008-06-20
病毒摘要
    该样本是使用Delphi编写的蠕虫程序，由微点主动防御软件自动捕获，程序未加壳，长度为407,040字节，图标为

，病毒扩展名为exe，主要通过网页木马、文件捆绑、移动存储介质的方式传播，病毒主要访问恶意网站。
感染对象
Windows 2000/Windows XP/Windows 2003
传播途径
网页木马、文件捆绑、移动存储介质
安全提示
　　已安装使用微点主动防御软件的用户，无须任何设置，微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本，微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版，微点主动防御软件在发现该病毒后将报警提示您发现“未知木马”，请直接选择删除处理（如图1）；

　 如果您已经将微点主动防御软件升级到最新版本，微点将报警提示您发现"Worm.Win32.AutoRun.ecv”，请直接选择删除（如图2）。

    对于未使用微点主动防御软件的用户，微点反病毒专家建议：
1、不要在不明站点下载非官方版本的软件进行安装，避免病毒通过捆绑的方式进入您的系统。
2、建议关闭U盘自动播放，具体操作步骤：开始->运行->gpedit.msc->计算机配置->管理模板->系统->在右侧找到"关闭自动播放"->双击->选择"已启用"。
3、尽快将您的杀毒软件特征库升级到最新版本进行查杀，并开启防火墙拦截网络异常访问，如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。
4、开启windows自动更新，及时打好漏洞补丁。

病毒分析
    该样本程序被执行后，创建名为“Recy”的互斥体，防止系统中有多个病毒进程存在；拷贝自身到%SystemRoot%\Help目录下，分别重命名为csrss.exe、Recycled.exe；修改如下注册表健值禁用CMD、禁用注册表编辑器；
以命令行cacls %SystemRoot%\system32\net.exe /e /G administrators:F Administrator:F SYSTEM:F Users:F Everyone:F INTERACTIVE:F、cacls %SystemRoot%\system32\net1.exe /e /G administrators:F Administrator:F SYSTEM:F Users:F Everyone:F INTERACTIVE:F的方式修改文件net.exe、net1.exe的访问控制表，使指定的用户对这两个文件有完全控制的权限；开启IE浏览器访问网站http://www.wo709394.cn/game.php；
以命令行的方式启动服务Driver_Service；遍立盘符在各分区和移动存储介质中释放隐藏病毒文件和autorun.inf文件，使用Windows自动播放功能来传播病毒。
  Quote:
项：HKCU\Software\Policies\Microsoft\Windows\System\
健值：DisableCMD
指向数据：02
项：HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\
健值：DisableRegistryTools
指向数据：01