安天实验室12月24日病毒预警

一、“捣毁者”（Worm/Win32.AutoIt.r） 威胁级别：★★★★

    该病毒运行后，获取kernel32.dll基址，动态获取大量API函数地址，动态加载系统库文件uxtheme.dll，调用该库文件的"IsThemeActive"函数，获取系统版本号，动态加载系统库文件kernel32.dll，调用该库文件的IsWow64Process函数，查看操作系统是32位还是64位，获取系统版本信息之后释放到kernel32.dll，试图更改桌面壁纸，检测是否被处理调试状态，如果是则调用MessageBox弹出以下信息："This is a compiled AutoIt script.AV researchers please email avsupport@autoitscript.com for support."，调用SHGetDesktopFolder函数获得桌面文件夹的IShellFolder接口，注册一个窗口类名"AutoIt v3 GUI"及消息句柄"TaskbarCreated"，完成之后创建隐藏的窗口，调用函数创建一个WORD图标的托盘，调用函数进入消息循环一直到接收到WM_NULL则跳出循环，拷贝自身到%System32%目录下备份多个病毒副本，分别重命名为fjwfbnyobd.exe、bomlfdbivbryevg.exe、iabzajxe.exe、ogwcoyjfpfnjn.exe（全部为随机病毒名），并将属性全部隐藏，在%System32%目录下创建一个名为mydoc.rtf的WORD文件，调用函数创建大量病毒进程，循环打开多个mydoc.rtf文件，使系统速度大大下降，该病毒一旦运行之后将无法结束其进程直到系统资源耗尽导致死机。

二、“偷取者”（Trojan/PSW.Win32.Kates.ae[Stealer]） 威胁级别：★★★★

    该恶意代码文件为木马，该病毒作为DLL使用EXE来启动，病毒运行后在当前进程申请内存空间向10000000地址内写入病毒代码，然后动态获取该病毒代码的入口点执行，打开名字为TSYSCHECK的文件影射，影射4096字节数据到TSYSCHECK的文件中，添加注册表启动项，伪装成声音驱动程序的注册文件，判断%System32%目录下的sqlsodbc.chm文件头部数据是否为46535449，如不是则将其删除，如是获取计算机名产生随机病毒名创建到%Temp%目录下并写入43008字节病毒数据，将文件创建时间设置为2004年8月4号，试图删除%System32%目录下的sysaudio.sys、wdmaud.sys驱动文件，创建一个线程循环在资源LoadString取字串信息，被感染的机器部分安全软件无法正常更新和运行并会截取包含账号密码等敏感信息。

安天反病毒工程师建议