瓢虫病毒[编辑]

2007年12月18日，金山毒霸全球反病毒监测中心发布圣诞期间紧急病毒预警，行为极度恶劣的“瓢虫”病毒新变种（Win32.Troj.Downloader.vb.237568）预计在圣诞节前后大面积发作，感染电脑内将爬满“瓢虫”，广大用户需高度警惕。金山毒霸反病毒专家戴光剑表示，“瓢虫病毒集熊猫烧香、AV终结者等年内重大病毒破坏性于一身，虽然目前病毒本身还有些缺陷，但随着新变种的不断出现，其破坏程度不容小觑。”

病毒介绍

　　据了解，“瓢虫”病毒与熊猫烧香类似，感染性极强，用户电脑一旦感染该病毒，除系统盘，被感染后的exe文件图标将变成绿色的“小飘虫”；同时，用户电脑内的浏览器、任务管理器、文件夹选项、系统时间等项目都将遭受破坏。戴光剑指出，这是一个感染性极强的病毒，病毒运行后，用户电脑将表现出五大“中毒”症状：

　　1、电脑运行速度立刻变慢，杀毒软件无法正常使用；

　　2 、系统时间被修改为2030年，使依赖系统时间的软件全部失效；

　　3、浏览器首页被篡改。当用户打开浏览器，会发现首页被修改为一个伪装的“百度”，由于该网址同样具有正常的搜索功能，所以极具容易迷惑性；

　　4、“任务管理器”和“文件夹选项”遭屏蔽。如果用户想使用“任务管理器”和“文件夹选项”来查看是谁在系统中捣鬼，会发现这两个功能都被病毒屏蔽掉；而当用户试图打开注册表时，会弹出一个对话框，提示“注册表编辑已被管理员停用”；再仔细检查，会发现连System32文件夹都不见了，病毒已经把自己隐藏得非常深；

　　5、硬盘、软驱、光驱自动共享。用户打开“我的电脑”时，可发现机器的硬盘以及软驱、光驱全部已经自动设置成共享状态，并且这种共享还被病毒锁死，无法改回正确的设置。这样，只要有谁愿意，都可以一览无遗地浏览用户电脑中的资料。

　　金山毒霸反病毒工程师分析指出，病毒潜入用户电脑系统后，会在系统盘中释放出6个病毒文件，分别为%windows%\system32\目录下的AUTORUN.INF、netshare.cmd、Avpser.cmd、Taskeep.vbs、SDGames.exe，以及%windows%下的system.ini。除此而外，病毒还在全部磁盘的根目录下生成AUTORUN.INF、Recycleds.url、SDGames.exe、Windows.url、新建文件夹.url等文件。

　　根据瓢虫病毒的传播特点，金山毒霸反病毒应急中心及时进行了病毒库更新，升级毒霸到2007年12月18的病毒库即可查杀以上病毒；如未安装金山毒霸，可以免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816，反病毒专家将为您提供帮助。

　　年终岁末是病毒的高发期，金山毒霸反病毒工程师建议广大用户：1、最好安装专业的杀毒软件进行全面监控，防范日益增多的病毒。用户在安装反病毒软件之后，应将一些主要监控经常打开（如邮件监控、内存监控等）、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。2、由于玩网络游戏、利用QQ聊天的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，及时升级杀毒软件，开启防火墙以及实时监控等功能，切断病毒传播的途径，不给病毒以可乘之机。

主要表现

　　病毒样本来自卡饭，病毒行为恶劣，主要表现为：

　　1.攻击杀毒软件之后进行IFEO映像劫持

　　2.感染htm等网页文件

　　3.感染或覆盖exe等可执行文件

　　4.破坏安全模式

　　5.破坏显示隐藏文件文件夹选项等

　　6.修改系统时间并锁定时间

　　7.可通过U盘等移动存储传播

　　8.关闭Windows防火墙等服务并打开许多危险服务，并使得用户磁盘被共享

　　9.后台添加账户并设定管理员权限

　　10.修改某些文件关联

预防　

　这个病毒看起来象熊猫烧香和AV终结者的结合体，阳光以前曾给过一个详细的分析。如果这个病毒把感染做的完美些（现在病毒还不是真正意义上的感染，是用病毒体完全覆盖正常EXE)，会不会造成和李俊版熊猫烧香一样的效果呢，完全有可能。

　　以下是关于该病毒的详细分析报告：一.病毒信息

　　病毒名：Win32.Troj.Serwer.yx

　　病毒中文名称：小瓢虫二.病毒行为：

　　这是一个感染型病毒，把会计算机上的系统时间改为2030年，在系统盘的system32文件夹下释放多个病毒文件。

　　在计算机上的每个盘下生成SDGames.exe和Autorun.inf两个文件，以达到通过双击该盘时病毒可以运行起来。

　　在每个盘下生成三个Url文件，都指向该盘下的SDGame.exe文件，三个Url文件具有迷惑性的图标。可以查看这三个URL的属性，会发现都指向c:\sdgame.exe。

　　通过添加注册表启动项以达到开机时病毒能运行起来，通过修改注册表破坏系统安全模式，禁用大部分系统功能：包括，禁用任务管理器，禁用控制面板，禁止修改系统配置，锁定主页，禁用注册表编辑器等。

　　映像劫持了大量软件，被劫持的软件包括“杀毒软件”，“系统检测工具”，“QQ”，（连QQ都不让用，这病毒够BT)

　　感染计算机上的exe文件，感染方式为覆盖数据。(除系统盘外，其它盘的EXE都被替换为小瓢虫图标)

　　感染计算机上的hta，html，htm，jsp，php，asp后缀的文件，插入网页代码.(除系统盘外，这一点和熊猫烧香的传播方式相同，有可能会造成网站大面积挂马）

　　把计算机上的所有盘设为所有人完全共享，（这是尼姆达病毒最常用的手段，当然，目的就是在局域网中大面积传播了。）

参考资料：

扩展阅读：