2008年6月23日至6月29日计算机病毒预报 
 
 
 
    病毒名称：“FTP资源吸血鬼”（Win32.Hack.Agent）
    危害程度：中
    受影响的系统: Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP, Windows Server 2003
    未受影响的系统: Windows 3.x, Macintosh, Unix, Linux
    病毒危害：
    1. 伪装成专业软件欺骗用户下载和复制
    2. 写入系统注册表实现开机自启动
    3. 盗取FTP密码信息
    感染形式：
    此病毒拥有多个变种，且非常狡猾，它会伪装成Adobe Flash Player、Sun Java以及Windows操作系统的安全升级补丁。欺骗用户下载和复制。由于最近Flash漏洞问题对电脑安全影响较大，电脑用户们纷纷寻找升级补丁，这样一来，该毒变得更容易得手。如果进入电脑系统，它就会释放出病毒文件、设置自己为开机自启动，然后弹出相应的提示，欺骗用户说安全补丁已经安装。而实际上，病毒这时候已经运行起来。它在系统盘中读取%Document and Settings%\当前用户\Application Data\ 和 %Document and Settings%\All Users\Application Data\ 两个路径，并进一步从它们的下层路径里读取一些关键文件，从中获知用户系统中安装的FTP软件及其版本号（比如CuteFTP这样的工具）。接着，它读取 %WINDOWS%\目录下的win.ini文件，从中获取另一个FTP相关文件的路径，然后读取该文件中所记录的FTP连接地址、用户名和密码信息。同时，它还会记录用户系统中与FTP有关的网页记录，将这些信息同之前偷到的信息一起，写入%WINDOWS%\目录下一个名为db32.txt的文档中，发送到病毒作者指定的地址。
    预防和清除：
　  最好安装专业的杀毒软件进行全面监控，防范日益增多的病毒。用户在安装反病毒软件之后，应及时升级修补操作系统相应的漏洞补丁和某些应用程序中相应的漏洞补丁。

    病毒名称：“武装下载器”（Win32.PSWTroj.OnlineGames.as）
    危害程度：中
    受影响的系统: Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP, Windows Server 2003
    未受影响的系统: Windows 3.x, Macintosh, Unix, Linux
    病毒危害：
    1． 在系统盘目录下释放出病毒文件
    2． 修改注册表，破坏系统中已安装了的杀毒软件
    3． 连接外网地址下载病毒
    4． 写入系统注册表实现开机自启动
    感染形式：
    这个下载器程序具有一定的对抗能力，如果它进入系统，就破坏多款安全软件的运行，然后执行盗号。它进入系统后首先释放出自己的病毒文件，文件有两个，一个是%WINDOWS%\system32\目录下的wininnet.nls，另一个是系统临时目录%temp%目录下的orz.exe。接着，就通过修改注册表中的数据，劫持系统中已安装的卡巴斯基、NOD32、毒霸等杀毒软件。同时，它随机生成以6个字符命名的驱动文件，如生成随机字符失败则使用指定的字符“cafesvr”，创建驱动文件，再利用这个驱动去关闭其它厂家的安全软件的进程。部分具有所谓主动防御功能的杀毒软件，在此毒的进攻中将被解除武装，因为病毒会恢复系统SSDT表。当执行完以上步骤，病毒就连接病毒作者指定的远程地址，下载一份病毒列表，以config.ini的名称保存到%WINDOWS%\system32\目录下。然后根据其中的地址下载更多其它病毒到用户电脑中执行。
    预防和清除：
    建立用户一定要养成良好的网络使用习惯，及时升级杀毒软件，开启防火墙以及实时监控等功能，切断病毒传播的途径，不给病毒以可乘之机。

    病毒名称：“远程木马”（Win32.Sality.v）
    危害程度：中
    受影响的系统: Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP, Windows Server 2003
    未受影响的系统: Windows 3.x, Macintosh, UNIX, Linux
    病毒危害：
    1. 搜索正常的exe文件进行感染
    2. 关闭大部分杀毒软件和安全工具软件
    3. 修改注册表，实现开启自动播放的功能
    4. 记录用户信息上传到远程服务上
    感染形式：
    此病毒文件会搜索正常的exe文件进行感染。当用户运行了被感染文件，病毒就会经过一些变形和垃圾指令的跳转及两层的解密，然后执行真正有危害的病毒代码。病毒作者这样的安排，是希望阻止反病毒工作者的查杀。病毒在系统盘%WINDOWS%\system32\文件夹下释放出压缩文件an438864.dl_，并将其中的an438864.dll文件解压到同级目录下。然后将dll文件注入系统进程。另一个病毒文件hjrhjo.sys会被释放到%WINDOWS%\system32\drivers\目录中。病毒会不停的中断系统时间，造成那些依赖系统时间激活和运行的安全软件失灵，并建立增加全局监视，记录下用户在电脑中输入的全部消息，以及鼠标在屏幕上的运行。之后，病毒就连接多个病毒作者指定的远程地址，将记录到的信息发送上去，同时等待黑客的下一步命令。预防和清除：
    养成良好的上网习惯比如不要随便接收别人发给的文件。建议电脑用户不要随便运行来历不明的文件，以免中毒受害。平时上网的时候一定要打开防病毒软件的实时监控功能。