2008年3月31日至4月6日计算机病毒预报 
 
 
    病毒名称：“循环瘫痪下载器”（Win32.Troj.Agent.bk.208896）
    危害程度：中
    受影响的系统: Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP, Windows Server 2003
    未受影响的系统: Windows 3.x, Macintosh, Unix, Linux
    病毒危害：
    1. 修改用户的计算机配置信息
    2. 关闭用户机器上运行的流行杀毒软件和防火墙
    3. 从网络上下载大量木马
    4. 盗窃用户电脑中有价值的敏感信息
    感染形式：
    这是一个病毒下载器。该病毒具备对抗杀软能力的下载器再次出现。和机器狗、磁碟机一样，这个下载器也具备解除杀毒软件主动防御的能力。如果用户机器上安装了卡巴反病毒软件，这个病毒就会在%WINDOWS%system32\drivers\目录下释放出驱动程序beep.sys，将卡巴的主文件关闭。这个过程会不断反复，只要用户一启动卡巴，病毒就会立即将它强行关闭。而如果电脑中没有安装卡巴，病毒则释放这个驱动程序到系统临时目录，并且文件名随机。接着，病毒利用自己的驱动程序，修改注册表，恢复系统SSDT表，使那些具有主动防御功能的杀毒软件失效。当这个过程运行完以后，病毒马上将其注册表项删除，需要运行时再创建。这样，用户检查注册表时，就容易发现异常。最后，病毒从http://c.15**m.com/这个由病毒作者指定的地址下载一份名为okok.txt 的病毒列表。再下载列表里的所有病毒。在这些病毒中，大部分是盗号木马程序，它们会盗取用户的网络游戏帐号密码，以及其他一些私密信息。
    预防和清除：
　  最好安装专业的杀毒软件进行全面监控，防范日益增多的病毒。用户在安装反病毒软件之后，应及时升级修补操作系统相应的漏洞补丁和某些应用程序中相应的漏洞补丁。

    病毒名称：“假保安诈骗木马”（Win32.Troj.Update.a.29632）
    危害程度：中
    受影响的系统: Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP, Windows Server 2003
    未受影响的系统: Windows 3.x, Macintosh, Unix, Linux
    病毒危害：
    1． 从指定的网站下载一个伪装成安全软件的间谍工具到本地
    2． 欺骗用户说电脑上有异常
    3． 要求购买所谓的“正版软件”进行修复
    4． 达到骗取钱财的目的
    感染形式：
    这是一个木马下载器程序病毒。病毒利用一个专门的下载器进行传播，它的下载器会通过与其它软件捆绑、流氓式安装等方式进入用户电脑。运行后会在%WINDOWS%目录下释放出下载器主文件xpupdate.exe，以及在%Programfiles%目录下生成多个其它病毒文件。接着，该下载器开始收集用户的系统信息，并以指定格式发送至病毒作者安排的地址http://dow***ad.M****reAlarm.com/madownload.php，进行分析。然后根据服务器反馈的信息下载间谍软件，以MalwareAlarm.exe的名称放到系统盘的%Programfiles%\MalwareAlarm\目录下。当修改注册表、实现随系统自启动后，这个间谍软件就会弹出一个虚假的提示消息，显示出“您的电脑系统中存在严重异常，请立即购买本产品正式版进行修复！”之类让用户感到恐慌的窗口。让人在不知所措中匆忙按照它的提示汇款、转账，达到骗取钱财的目的。
    预防和清除：
    建立用户一定要养成良好的网络使用习惯，及时升级杀毒软件，开启防火墙以及实时监控等功能，切断病毒传播的途径，不给病毒以可乘之机。

    病毒名称：“千足虫”变种cb”（Win32.Kdcyy.cb）
    危害程度：中
    受影响的系统: Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP, Windows Server 2003
    未受影响的系统: Windows 3.x, Macintosh, UNIX, Linux
    病毒危害：
    1. 修改注册表，实现开启自动播放的功能
    2. 自我复制到系统盘根目录下
    3. 感染除系统盘外所有盘符下的EXE可执行文件、网页文件、RAR和ZIP压缩包中的文件等
    4. 感染计算机系统会经常死机
    感染形式：
    这是一个由VC++编写的后门程序。采用VC++ 6.0编写， 并经过加壳保护处理。病毒运行后，自我复制到系统盘根目录下，文件名随机生成。利用驱动程序来恢复SSDT Hook，使某些安全软件的监控失效。强行关闭大部分杀毒软件和安全工具软件。被感染计算机系统会经常死机或长时间卡住不动。利用“ARP病毒”在局域网中进行自我传播。感染除系统盘外所有盘符下的EXE可执行文件、网页文件、RAR和ZIP压缩包中的文件等(加密感染)，感染后的程序变为16位的图标，图标变模糊，类似于马赛克。一旦发现与安全相关的窗口存在，强行将其关闭。在所有盘符下生成“autorun.inf”和病毒体，并且对这些文件进行实时检测保护，利用移动设备进行传播。破坏注册表，致使用户无法进入“安全模式”、无法查看隐藏的系统文件，致使注册表启动项失效。修改注册表，实现开启自动播放的功能。强行删除所有安全软件的关联注册表项，使其无法开启监控。利用进程守护技术，将病毒的“lsass.exe”、“smss.exe”进程主体和DLL组件进行关联，实现进程守护，一旦病毒文件被删除或被关闭，便马上生成并重新运行。以系统级权限运行，部分进程使用了进程保护技术。利用控制台命令来设置病毒程序文件的访问运行权限。利用了关机回写技术，在关闭计算机时把病毒主程序体保存到[启动]文件夹中，实现开机自启动。另外，“千足虫”变种cb还可以自升级。
    预防和清除：
    养成良好的上网习惯比如不要随便接收别人发给的文件。建议电脑用户不要随便运行来历不明的文件，以免中毒受害。平时上网的时候一定要打开防病毒软件的实时监控功能。