病毒监测周报(6.12-6.18)

一、本周发生病毒

1、 "高波"病毒新变种（Worm_AgoBot）

　　该病毒是常驻内存的蠕虫病毒，利用RPC DCOM 缓冲区溢出漏洞、IIS5/WEBDAV 缓冲区溢出漏洞和RPC Locator 漏洞进行传播，还可通过弱密码攻击远程系统进行主动传播以及利用mIRC软件进行远程控制和传播。病毒运行后，在%System％文件夹下生成自身的拷贝nvchip4.exe。添加注册表项，使得自身能够在系统启动时自动运行。

2、“网银大盗Ⅱ”病毒（Troj_Dingxa.A）

　　病毒运行后在系统文件夹%System%下创建自身的副本，文件名称为svch0st.exe。 病毒修改注册表，以达到随系统启动而自动运行的目的。病毒运行后检查IE窗口标题栏，判定当前窗口是否为网上银行的登陆页面，涉及到国内多家银行的网上交易系统。一旦发现当前IE窗口为上述银行的登陆页面，病毒立即开始记录键盘输入的所有键值，记录的键值几乎包括了所有可能的键盘录入。窃取的用户信息包括网上银行的帐号、密码、验证码等。病毒截获被感染计算机所输入的键盘值后，将其窃取到的信息发送到指定的地址。

3、“网络天空”新变种(Worm_Netsky.D)

　　该病毒通过邮件传播，使用UPX压缩。运行后，在%Windows％目录下生成自身的拷贝，名称为Winlogon.exe。（其中，%Windows% 是Windows的默认文件夹，通常是 C:\Windows 或 C:\WINNT），病毒使用Word的图标，并在共享文件夹中生成自身拷贝。病毒创建注册表项，使得自身能够在系统启动时自动运行。病毒邮件的发信人、主题、内容和附件都是不固定的，

4、“震荡波”病毒（Worm_Sasser.A）

　　病毒运行后，在%Windows％目录下生成名为avserve.exe，同时在%System%目录下生成其它病毒文件；病毒创建注册表项，使得自身能够在系统启动时自动运行；病毒主动进行扫描，对网络中没有安装微软SSL安全漏洞的机器进行攻击，受攻击的系统就会生成名为cmd.ftp的ftp脚本程序，通过TCP端口5554下载蠕虫病毒。同时由于病毒扫描A 类或B类子网地址，目标端口是445，会对网络性能有一定影响，尤其局域网可能造成瘫痪。并在9996端口创建远程Shell。该病毒在传播和破坏形式上与"冲击波"病毒相类似。

二、本周病毒动态分析

　　通过对以上监测结果分析，本周利用Windows的三个安全漏洞进行传播和攻击的"高波"（Worm_AgoBot）病毒及其变种再次出现高频率的爆发现象，有很多计算机用户再次受到该病毒的感染，有明显地回升势头。提醒计算机用户做好防病毒的措施。

　　"网银大盗Ⅱ"病毒Troj_Dingxa.A排名这周还是第二位，和上周一样，没有得到很有效的控制，再次提醒广大用户及时升级杀毒软件和防火墙，启动"实施监控"功能。并根据病毒的技术特点，设置防火墙和边界路由器的规则，抵御病毒入侵。

　　"网络天空"病毒Worm_Netsky.D排名第三位，虽然排名靠后，但是该病毒是本周发作频率比较高的病毒之一，还请计算机用户关注该病毒的发展势态，做好必要的防毒措施！

　　蠕虫病毒"震荡波"（Worm_Sasser.A）本周几乎没有再出现计算机用户受感染的现象，但是还有少数用户仍然好事没有对该病毒引起重视，还有不少计算机用户依然没有给系统打补丁，还会受到病毒的侵袭。因此建议没有打补丁的用户要赶快打补丁，升级杀毒软件，设置好防火墙。

　　从这周病毒的发作情况来看，还是一些老病毒仍对计算机用户造成危害。所以还是要建议计算机用户对自己的系统做好防范措施，及时打安全漏洞补丁，升级杀毒软件。

三、建议可采用以下病毒防范措施

　　1、对于感染"高波"病毒新变种Worm_AgoBot的计算机用户提醒用及时打补丁或登陆到网站：
http://www.antivirus-china.org.cn/content/Worm_AgoBot.htm查阅。


2、对于感染"网银大盗Ⅱ"Troj_Dingxa.A病毒的计算机用户，提醒用户及时升级杀毒软件，或可以登陆网站：
http//www.antivirus-china.org.cn/content/Troj_Dingxa.A.htm查阅

3、对于感染"网络天空"的新变种Worm_Netsky.D病毒的计算机用户提醒
用户及时升级杀毒软件，或可以登陆网站：
http://www.antivirus-china.org.cn/content/Worm_Netsky.D.htm查阅

4、对于感染"震荡波"（Worm_Sasser.A）病毒的计算机用户提醒用户及时升级杀毒软件并给系统打安全漏洞补定，或可以登陆网站：
http://www.antivirus-china.org.cn/content/Worm_Sasser.htm查阅

5、不要轻易打开来历不明的邮件，尤其是邮件的附件。

6、闭不必要的服务和端口。

7、将浏览器的安全级别设为中级以上。

8、不要随便登录不明网站。

9、Office软件的安全级别设定为中级以上。

10、使用光盘、软盘进行数据交换前，先对其进行病毒检查。

11、将系统配置改为从硬盘引导，不要用软盘引导系统，防止感染引导型病毒。

12、做好系统和重要数据的备份，以便能够在遭受病毒侵害后及时恢复。

13、发现网络和系统异常，及时与国家计算机病毒应急处理中心或防病毒厂家联系。

(责任编辑：宋红伟)