Word遭病毒偽裝 "辦公室偽裝者"頻繁作案

金山毒霸反病毒專家李鐵軍表示，此病毒為一個木馬下載器，它的狡猾之處在于，它會采用微軟 OFFICE辦公軟件中的Word圖標，偽裝成Word主程序欺騙用戶忽略它。病毒進入電腦后，復制自身到c:\Documents~1\Administrator\[開始]菜單\程序\啟動\word.exe，以及c:\Documents~1\new\[開始]菜單\程序\啟動\word.exe目錄下，同時修改系統(tǒng)注冊表中的相關數(shù)據(jù)，使病毒可以隨系統(tǒng)啟動。

接著，從E盤開始到I盤，病毒在系統(tǒng)各分區(qū)下釋放病毒副本，李鐵軍判斷，這是它在試圖建立AUTO文件。但由于技術原因，或者病毒作者的粗心，AUTO文件沒能建立。最后，病毒在后臺悄悄連接多個掛馬網(wǎng)頁，下載大量木馬文件到用戶電腦上執(zhí)行，引發(fā)更多無法估計的安全事件。

據(jù)了解， 本周內(nèi)廣大用戶除了要高度警惕“辦公室偽裝者394240”外，還需要特別關注“仿真機器狗”（Win32.Troj.Downloader.ns.25088）和“漏洞腳本下載器6039”（VBS.Downloader.ab.6039） 兩個病毒。前者這個下載器很明顯是仿照機器狗來制作的。它開始運行后，首先刪除注冊表中一些免疫機器狗病毒工具的啟動信息，破壞目前已有的各類機器狗專殺工具的運行，并修改系統(tǒng)時間為2003年，讓依賴系統(tǒng)時間進行激活和升級的殺毒軟件失效。后者是一個利用系統(tǒng)安全漏洞實施破壞行為的惡意腳本。這個病毒體積非常小，可主要利用網(wǎng)頁掛馬和捆綁文件進行傳播。它所利用的漏洞是Microsoft Data Access Components (MDAC) 中的實現(xiàn)缺陷。當它發(fā)現(xiàn)電腦系統(tǒng)中存在該漏洞時，就可以利用該漏洞繞開系統(tǒng)安全模塊，擅自調(diào)用IE瀏覽器的進程，連接病毒作者指定的地址http://www.me****b.com.tw/english/newly/image和http://www.li****me.com.tw/pic，下載多個偽裝成.jpg格式圖片文件的病毒，存放到系統(tǒng)盤根目錄和系統(tǒng)臨時文件夾中。

根據(jù)本周病毒的傳播特點，金山毒霸反病毒工程師建議：

1、請及時更新您的殺毒軟件，網(wǎng)絡版可以通過控制臺執(zhí)行全網(wǎng)升級。

2、建議手動或使用毒霸來關閉自動播放功能,防止病毒利用U盤等可移動設備來進行傳播。

3、最好安裝專業(yè)的殺毒軟件進行全面監(jiān)控。建議用戶安裝反病毒軟件防止日益增多的病毒，用戶在安裝反病毒軟件之后，應該經(jīng)常進行升級、將一些主要監(jiān)控經(jīng)常打開（如郵件監(jiān)控）、內(nèi)存監(jiān)控等，遇到問題要上報， 這樣才能真正保障計算機的安全。

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]