安天实验室3月29日病毒预警

一、“捆绑者”（Trojan/Win32.Ekafod.q[Dropper]） 威胁级别：★★★★

    病毒运行后获取系统时间来作为衍生的随机病毒文件名，添加病毒注册表启动项，遍历进程查找"ravmond.exe"进程，衍生多个病毒DLL文件到%System32%目录下，检测%System32%\dllcache目录下是否存在该DLL文件如不存在则衍生相同文件到该目录下，检测D盘下是否存在ssshall目录，如不存在则创建，并将创建的目录属性设置为隐藏，调用regsvr32 /s注册病毒衍生的DLL组件，调用rundll32.exe隐藏安装病毒DLL文件，衍生病毒EXE文件到System32%目录下并命名为Dofake.exe，将D盘下所有文件夹设置为隐藏，并将所有文件夹名字记录下来，将除系统盘外所有磁盘的根目录下所有文件夹属性设置为隐藏，再创建以文件夹名字命名的.exe文件，使用户不被发现，当用户双击打开文件夹时先执行病毒文件之后病毒文件调用EXPLORER.EXE资源管理器方式再打开真正的文件夹，被感染的机器连接网络在后台隐藏打开多个恶意连接。

二、“记录间谍”（Trojan/Win32.KeyLogger.dzk[Spy]） 威胁级别：★★★★

    该病毒图标为jpg格式文件图标；该文件是由一个图片文件和一个病毒文件用winrar组成的自解压复合文件；病毒运行后衍生病毒文件到%Windir%目录下，衍生图片文件到%Windir%\temp下，用以迷惑用户；修改注册表添加启动项，使病毒文件随机启动；病毒运行后记录当前用户的键盘操作，保存到%Windir%目录下的winhlp32.hlp文件中；连接FTP服务器，将捕获的键盘数据发送到指定的目录。该病毒通过病毒作者向攻击目标的email地址发送邮件的方式进行传播。

安天反病毒工程师建议