警惕伪装成Word的“办公室伪装者”

　　“办公室伪装者394240”（Win32.TrojDownloader.Banload.394240），这是个具有伪装性的木马下载器。它给采用MS OFFICE办公软件的word图标，伪装成word主程序，欺骗用户。

　　5月19日，金山毒霸全球反病毒监测中心发布周(5.19-5.25)病毒预警。本周广大用户需高度警惕一名为“办公室伪装者394240”(Win32.TrojDownloader.Banload.394240)的电脑病毒。该病毒可采用微软 OFFICE办公软件中的word图标，伪装成word主程序欺骗用户忽略它。同时还将下载大量木马文件到用户电脑上执行，引发更多无法估计的安全事件。

　　金山毒霸反病毒专家李铁军表示，此病毒为一个木马下载器，它的狡猾之处在于，它会采用微软 OFFICE办公软件中的word图标，伪装成word主程序欺骗用户忽略它。病毒进入电脑后，复制自身到c:\Documents~1\Administrator\[开始]菜单\程序\启动\word.exe，以及c:\Documents~1\new\[开始]菜单\程序\启动\word.exe目录下，同时修改系统注册表中的相关数据，使病毒可以随系统启动。

　　接着，从E盘开始到I盘，病毒在系统各分区下释放病毒副本，李铁军判断，这是它在试图建立AUTO文件。但由于技术原因，或者病毒作者的粗心，AUTO文件没能建立。最后，病毒在后台悄悄连接多个挂马网页，下载大量木马文件到用户电脑上执行，引发更多无法估计的安全事件。

　　据了解， 本周内广大用户除了要高度警惕“办公室伪装者394240”外，还需要特别关注“仿真机器狗”(Win32.Troj.Downloader.ns.25088)和“漏洞脚本下载器6039”(VBS.Downloader.ab.6039) 两个病毒。前者这个下载器很明显是仿照机器狗来制作的。它开始运行后，首先删除注册表中一些免疫机器狗病毒工具的启动信息，破坏目前已有的各类机器狗专杀工具的运行，并修改系统时间为2003年，让依赖系统时间进行激活和升级的杀毒软件失效。后者是一个利用系统安全漏洞实施破坏行为的恶意脚本。这个病毒体积非常小，可主要利用网页挂马和捆绑文件进行传播。它所利用的漏洞是Microsoft Data Access Components (MDAC) 中的实现缺陷。当它发现电脑系统中存在该漏洞时，就可以利用该漏洞绕开系统安全模块，擅自调用IE浏览器的进程，连接病毒作者指定的地址https://www.me****b.com.tw/english/newly/image和https://www.li****me.com.tw/pic，下载多个伪装成.jpg格式图片文件的病毒，存放到系统盘根目录和系统临时文件夹中。

　　根据本周病毒的传播特点，金山毒霸反病毒工程师建议：

　　1、请及时更新您的杀毒软件，网络版可以通过控制台执行全网升级。

　　2、建议手动或使用毒霸来关闭自动播放功能,防止病毒利用U盘等可移动设备来进行传播。

　　3、最好安装专业的杀毒软件进行全面监控。建议用户安装反病毒软件防止日益增多的病毒，用户在安装反病毒软件之后，应该经常进行升级、将一些主要监控经常打开(如邮件监控)、内存监控等，遇到问题要上报， 这样才能真正保障计算机的安全。

　　同时，金山毒霸反病毒应急中心及时进行了病毒库更新，升级毒霸到2008年5月19日的病毒库即可查以上病毒;如未安装金山毒霸，可以登录https://www.duba.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵，拨打金山毒霸反病毒急救电话010—82331816反病毒专家将为您提供帮助。

声明：欢迎各大网站转载本站文章，还请保留一条能直接指向本站的超级链接，谢谢！

时间:2008-05-20 10:07:42,点击:65824