Word主程序遭伪装 "办公室伪装者"病毒频繁作案

关键词： 金山毒霸 金山 病毒播报 一周病毒播报 每周病毒播报 病毒周报

本周病毒预警： word主程序遭病毒伪装 办公室伪装者频繁作案
 
5月19日，金山毒霸全球反病毒监测中心发布周（5.19-5.25）病毒预警。

本周广大用户需高度警惕一名为“办公室伪装者394240”（Win32.TrojDownloader.Banload.394240）的电脑病毒。该病毒可采用微软 OFFICE办公软件中的word图标，伪装成word主程序欺骗用户忽略它。同时还将下载大量木马文件到用户电脑上执行，引发更多无法估计的安全事件。

金山毒霸反病毒专家李铁军表示，此病毒为一个木马下载器，它的狡猾之处在于，它会采用微软 OFFICE办公软件中的word图标，伪装成word主程序欺骗用户忽略它。病毒进入电脑后，复制自身到c:Documents~1Administrator[开始]菜单程序启动word.exe，以及c:Documents~1new[开始]菜单程序启动word.exe目录下，同时修改系统注册表中的相关数据，使病毒可以随系统启动。
   
接着，从E盘开始到I盘，病毒在系统各分区下释放病毒副本，李铁军判断，这是它在试图建立AUTO文件。但由于技术原因，或者病毒作者的粗心，AUTO文件没能建立。最后，病毒在后台悄悄连接多个挂马网页，下载大量木马文件到用户电脑上执行，引发更多无法估计的安全事件。

据了解， 本周内广大用户除了要高度警惕“办公室伪装者394240”外，还需要特别关注“仿真机器狗”（Win32.Troj.Downloader.ns.25088）和“漏洞脚本下载器6039”（VBS.Downloader.ab.6039） 两个病毒。

前者这个下载器很明显是仿照机器狗来制作的。它开始运行后，首先删除注册表中一些免疫机器狗病毒工具的启动信息，破坏目前已有的各类机器狗专杀工具的运行，并修改系统时间为2003年，让依赖系统时间进行激活和升级的杀毒软件失效。

后者是一个利用系统安全漏洞实施破坏行为的恶意脚本。这个病毒体积非常小，可主要利用网页挂马和捆绑文件进行传播。它所利用的漏洞是Microsoft Data Access Components (MDAC) 中的实现缺陷。当它发现电脑系统中存在该漏洞时，就可以利用该漏洞绕开系统安全模块，擅自调用IE浏览器的进程，连接病毒作者指定的地址http://www.me****b.com.tw/english/newly/image和http://www.li****me.com.tw/pic，下载多个伪装成.jpg格式图片文件的病毒，存放到系统盘根目录和系统临时文件夹中。
  
根据本周病毒的传播特点，金山毒霸反病毒工程师建议：

1、请及时更新您的杀毒软件，网络版可以通过控制台执行全网升级。

2、建议手动或使用毒霸来关闭自动播放功能,防止病毒利用U盘等可移动设备来进行传播。

3、最好安装专业的杀毒软件进行全面监控。建议用户安装反病毒软件防止日益增多的病毒，用户在安装反病毒软件之后，应该经常进行升级、将一些主要监控经常打开（如邮件监控）、内存监控等，遇到问题要上报， 这样才能真正保障计算机的安全。
    
同时，金山毒霸反病毒应急中心及时进行了病毒库更新，升级毒霸到2008年5月19日的病毒库即可查以上病毒；如未安装金山毒霸，可以登录http://www.duba.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵，拨打金山毒霸反病毒急救电话010—82331816反病毒专家将为您提供帮助。