动物家园计算机安全咨询中心(www.kingzoo.com)反病毒斗士报:
疯狂下载者dyq”(Trojan/Win32.Small.dyq[Dropper]) 威胁级别:★★
    该恶意代码为下载者***,病毒运行后动态加载sfc_os.dll系统库文件,并调用该库文件序号为#5的函数,去掉对appmgmts.dll系统文件的保护,动态加载Advapi32.dll系统库文件,并调用该库文件的RegCloseKey、OpenSCManagerA函数,开启AppMgmt服务,遍历%System32%目录下的appmgmts.dll,创建病毒文件替换系统的appmgmts.dll文件,并将病毒DLL文件时间设置为该系统DLL文件的创建时间,释放驱动文件到临时目录下,等待启动之后将删除驱动文件,该驱动文件主要行为恢复SSDT过主动防御,调用StartServiceA函数启动AppMgmt服务,以系统服务启动病毒DLL文件,创建BAT批处理文件用于删除病毒自身,结束安全软件进程,将病毒DLL注入到svchost.exe进程中,开启IE连接网络下载病毒文件。
“魔兽窃贼”(Trojan/Win32.Small.dyq[Dropper])威胁级别:★★
    该恶意代码为下载者***,病毒运行后动态加载sfc_os.dll系统库文件,并调用该库文件序号为#5的函数,去掉对appmgmts.dll系统文件的保护,动态加载Advapi32.dll系统库文件,并调用该库文件的RegCloseKey、OpenSCManagerA函数,开启AppMgmt服务,遍历%System32%目录下的appmgmts.dll,创建病毒文件替换系统的appmgmts.dll文件,并将病毒DLL文件时间设置为该系统DLL文件的创建时间,释放驱动文件到临时目录下,等待启动之后将删除驱动文件,该驱动文件主要行为是恢复SSDT过主动防御,调用StartServiceA函数启动AppMgmt服务,以系统服务启动病毒DLL文件,创建BAT批处理文件用于删除病毒自身,结束安全软件进程,将病毒DLL注入到svchost.exe进程中,开启IE连接网络下载病毒文件。
“盗号***”(Trojan/Win32.Magania.biht[OnLineGames]) 威胁级别:★★
    该恶意代码文件为游戏盗号***,病毒运行后先删除自身文件再衍生相同文件名的病毒到Windows字体目录下,防止多个病毒文件产生的冲突,调用病毒自定义的函数“JUFndB4pARSJ”模块来提升进程权限,添加注册表病毒的CLSID值、HOOK启动项,删除System32%目录下的verclsid.exe文件,病毒运行完毕后使用CMD命令删除自身文件,查找含有:图片和传真、记事本、internet explorer、acdsee的标题窗口找到后并截图将图片保存到临时目录下,将病毒DLL注入到除系统进程外的所有进程中、安装消息钩子截取用户账号信息,获取用户账户信息后通过URL方式将截取账户信息及截取到得图片发送到作者指定的地址中。
动物家园计算机安全咨询中心反病毒工程师建议:
   1、从其他网站下载的软件或者文件,打开前一定要注意检查下是否带有病毒。
  
   2、别轻易打开陌生人邮件及邮件附件、连接等。
   3、用户应该及时下载微软公布的最新补丁,来避免病毒利用漏洞袭击用户的电脑。
   4、尽量把系统帐号密码设置强壮点,勿用空密码或者过于简单。
   5、发现异常情况,请立即更新你的反病毒软件进行全盘查杀或者登陆bbs.kingzoo.com(安全咨询中心)咨询