Word遭病毒伪装 "办公室伪装者"频繁作案

金山毒霸反病毒专家李铁军表示，此病毒为一个木马下载器，它的狡猾之处在于，它会采用微软 OFFICE办公软件中的Word图标，伪装成Word主程序欺骗用户忽略它。病毒进入电脑后，复制自身到c:\Documents~1\Administrator\[开始]菜单\程序\启动\word.exe，以及c:\Documents~1\new\[开始]菜单\程序\启动\word.exe目录下，同时修改系统注册表中的相关数据，使病毒可以随系统启动。

接着，从E盘开始到I盘，病毒在系统各分区下释放病毒副本，李铁军判断，这是它在试图建立AUTO文件。但由于技术原因，或者病毒作者的粗心，AUTO文件没能建立。最后，病毒在后台悄悄连接多个挂马网页，下载大量木马文件到用户电脑上执行，引发更多无法估计的安全事件。

据了解， 本周内广大用户除了要高度警惕“办公室伪装者394240”外，还需要特别关注“仿真机器狗”（Win32.Troj.Downloader.ns.25088）和“漏洞脚本下载器6039”（VBS.Downloader.ab.6039） 两个病毒。前者这个下载器很明显是仿照机器狗来制作的。它开始运行后，首先删除注册表中一些免疫机器狗病毒工具的启动信息，破坏目前已有的各类机器狗专杀工具的运行，并修改系统时间为2003年，让依赖系统时间进行激活和升级的杀毒软件失效。后者是一个利用系统安全漏洞实施破坏行为的恶意脚本。这个病毒体积非常小，可主要利用网页挂马和捆绑文件进行传播。它所利用的漏洞是Microsoft Data Access Components (MDAC) 中的实现缺陷。当它发现电脑系统中存在该漏洞时，就可以利用该漏洞绕开系统安全模块，擅自调用IE浏览器的进程，连接病毒作者指定的地址http://www.me****b.com.tw/english/newly/image和http://www.li****me.com.tw/pic，下载多个伪装成.jpg格式图片文件的病毒，存放到系统盘根目录和系统临时文件夹中。

根据本周病毒的传播特点，金山毒霸反病毒工程师建议：

1、请及时更新您的杀毒软件，网络版可以通过控制台执行全网升级。

2、建议手动或使用毒霸来关闭自动播放功能,防止病毒利用U盘等可移动设备来进行传播。

3、最好安装专业的杀毒软件进行全面监控。建议用户安装反病毒软件防止日益增多的病毒，用户在安装反病毒软件之后，应该经常进行升级、将一些主要监控经常打开（如邮件监控）、内存监控等，遇到问题要上报， 这样才能真正保障计算机的安全。

服务器租用/服务器托管中国五强！虚拟主机域名注册顶级提供商！15年品质保障！--亿恩科技[ENKJ.COM]