2008年1月21日至1月27日计算机病毒预报 
 
    病毒名称：“打卡签到下载者”（Win32.Troj.Autorun.mq）
    危害程度：中
    受影响的系统: Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP, Windows Server 2003
    未受影响的系统: Windows 3.x, Macintosh, Unix, Linux
    病毒危害：
    1. 修改注册表启动项，实现自启动
    2. 禁止用户使用“任务管理器”、“文件夹选项”、“注册表工具”
    3. 重启自动生成新病毒文件
    4. 中毒后系统无法进入安全模式、组策略功能也被禁用
    感染形式：
    病毒进入用户系统后，会将4个病毒文件释放到电脑系统盘中，分别为%WINDOWS%目录下的hinhem.scr、scvhosts.exe，%WINDOWS%%\Tasks\目录下的At1.job、At2.job，以及%WINDOWS%system32\目录下的autorun.ini、blastclnnn.exe、scvhosts.exe。随后，它就修改系统注册表中的相关数据，使自己可以在用户每次开机后自动运行。为迷惑用户，病毒将自己伪装成WINDOWS系统自带的添加网络日志任务，并将之前生成的blastclnnn.exe病毒文件的发作时间定在每天上午9点，时间一到，病毒就会准时“上班”。如果用户查看该进程属性，便可看到其相关属性。同时，病毒会修改注册表，禁止用户使用“任务管理器”、“文件夹选项”、“注册表工具”，以防止用户查杀它。在电脑重启后，病毒给之前生成的scvhosts.exe病毒文件建立进程。由于它与和系统svchost.exe进程的名称相似，如果用户不仔细检查，就不容易发现它。然后，病毒搜索局域网内的其它电脑，将起名为“New Folder.exe”的病毒文件发送到它们的共享文件夹中。病毒还会检测用户电脑上是否安装有“雅虎通”聊天工具，如有，就利用它向用户好友发送大量包含病毒网页链结的消息。除此而外，病毒还会悄悄建立远程连接，从hxxp://s*tt*ng.doc.fish.cn、hxxp://www.0f**h.cn/等病毒作者指定的地址下载其它病毒，给用户的系统安全和个人隐私造成更多威胁。
    预防和清除：
　  最好安装专业的杀毒软件进行全面监控，防范日益增多的病毒。用户在安装反病毒软件之后，应将一些主要监控经常打开（如邮件监控、内存监控等）、经常进行升级、遇到问题要上报，减少病毒给计算机用户带来的危害。

    病毒名称：“R2盗号木马”（Win32.Troj.AgentT.fm）
    危害程度：中
    受影响的系统: Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP, Windows Server 2003
    未受影响的系统: Windows 3.x, Macintosh, Unix, Linux
    病毒危害：
    1． 修改注册表启动项，实现自启动
    2． 释放一个文件注入explorer.exe中
    3． 设置全局钩子，读取游戏内存的方式获取用户的帐号信息
    4． 回传到木马投放者指定的网址
    感染形式：
    病毒进入电脑系统后，在系统盘的%WINDOWS%\Fonts\目录下释放出病毒文件enwebfx.fon、kawdjaz.exe、kawdjcs.dll、kawdjzy.dll，然后修改注册表，将自己的相关数据写入启动项，使自己能在用户以后每次启动电脑时跟着运行起来。如果顺利运行起来，病毒就会注入到系统桌面进程Explorer.exe中，创建独立的线程对当前正在运行的系统进程进行监视，入发现网络游戏《R2》（革命领域）的进程R2Client.exe，就通过读取内存数据的方式盗取用户的帐号密码等信息。得手后，病毒在用户无法知晓的情况下建立远程连接，将数据发送到http://www.r*x*.cn/1*v/post.asp这个由木马种植者指定的地址，给用户造成虚拟财产的损失。
    预防和清除：
    建立良好的安全习惯，并在适当时候进行全网查杀病毒，保证企业信息安全。建议您全面扫描操作系统漏洞，及时更新Windows操作系统，安装相应补丁程序，以避免病毒利用微软漏洞攻击计算机，造成损失。

    病毒名称：“伪装下载者”（Win32.Riskware.wmicsmgr.b）
    危害程度：中
    受影响的系统: Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP, Windows Server 2003
    未受影响的系统: Windows 3.x, Macintosh, UNIX, Linux
    病毒危害：
    1. 在系统目录中释放出病毒文件
    2. 修改注册表启动项，实现自启动
    3. 添加的启动项名称是wmicsmgr，注册为“浏览器帮助插件
    4. 连接网络下载新的病毒
    感染形式：
病毒进入系统后，在系统盘的%WINDOWS%\system32\目录下释放出病毒文件wmicsmgr.dll。需要注意的是，此病毒文件的文件名与WINDOWS系统自带的一个DLL文件名很相似，但正常的文件名为wmiscmgr.dll，而不是wmicsmgr.dll。随后，病毒修改注册表，把自己的相关数据写入启动项中。它添加的启动项名称是wmicsmgr，注册为“浏览器帮助插件”，试图以此欺骗用户。当资源管理器或IE浏览器启动时，病毒就会随之加载运行起来。当病毒被加载后，它就会在后台利用IE浏览器的进程空间来运行自己。这样做的好处是用户不容易发现系统中出现多余的进程。如果成功运行起来，病毒就会连接到木马种植者指定的地址http://www.o*3*6.com/，获取最新的病毒下载地址，然后根据这些地址去下载更多的病毒程序到用户电脑中运行，给用户造成无法估计的更大损失。
    预防和清除：
    建议电脑用户不要随便运行来历不明的文件，以免中毒受害。平时上网的时候一定要打开防病毒软件的实时监控功能。