4月16日病毒预警：谨防“砸波”和“变异体”
  在今天的病毒中“砸波”变种cvb和“变异体”变种bfo值得关注

　　一、今日高危病毒简介及中毒现象描述：

　　TrojanSpy.Zbot.cvb“砸波”变种cvb是“砸波”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。“砸波”变种cvb运行后，会自我复制到被感染系统的“%SystemRoot%\system32\”文件夹下，重新命名为“ntos.exe”(文件属性设置为“系统、隐藏、只读、存档”)，以此替换系统文件“ntos.exe”，从而实现开机自启。遍历当前系统中所有的进程，一旦发现某些安全软件正在运行，便会尝试将其结束，致使被感染系统失去安全软件的保护。“砸波”变种cvb运行时，会将恶意代码注入到新创建的“winlogon.exe”进程中隐秘运行。在被感染系统后台连接骇客指定的URL“https://onlineeast.banko*merica.com/cgi-bin/ias/*/GotoWelcome”，获取恶意程序下载列表，然后下载指定的恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等，致使用户面临更多的威胁。另外，“砸波”变种cvb会通过修改被感染系统注册表启动项的方式实现开机自启。

　　TrojanDownloader.Geral.bfo“变异体”变种bfo是“变异体”家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写。“变异体”变种bfo运行后，会将被感染系统“%SystemRoot%\system32\”文件夹下的“wininet.dll”复制到“%USERPROFILE%\Local Settings\Temp\”文件夹下，重新命名为“opeB2.tmp”。另外，还会在“%USERPROFILE%\Local Settings\Temp\”文件夹下释放恶意驱动程序“prJvV.DRV”。“变异体”变种bfo运行时，会在被感染系统的后台连接骇客指定的站点“http://10.y*10.cn/mm/”，下载恶意程序“e4353609t.exe”并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等，致使用户面临更多的威胁。另外，“变异体”变种bfo会通过在被感染系统注册表启动项中添加键值的方式实现开机自动运行。

　　二、针对以上病毒，建议广大用户：

　　1、最好安装专业的杀毒软件进行全面监控并及时升级病毒代码库。建议用户将一些主要监控经常打开，如邮件监控、内存监控等，目的是防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。

　　2、请勿随意打开邮件中的附件，尤其是来历不明的邮件。企业级用户可在通用的邮件服务器平台开启监控系统，在邮件网关处拦截病毒，确保邮件客户端的安全。

　　3、企业级用户应及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒。另外为保证企业信息安全，应关闭共享目录并为管理员帐户设置强口令，不要将管理员口令设置为空或过于简单的密码。