“股票窃密者”病毒分析报告

　　一、病毒评估：

　　警惕程度：★★★☆
　　 发作时间：随机
　　 病毒类型：木马病毒
　　 传播途径：网络
　　 依赖系统: WIN9X/NT/2000/XP

　　二、病毒介绍：

　　11月26日，瑞星全球反病毒监测网截获了一个专门针对数家国内证券公司的网络交易系统编写的木马病毒，中毒之后，病毒会窃取用户的股票网络交易账号和密码，从而可以恶意买卖用户的股票，造成用户的资金损失。

　　目前有许多用户打电话来咨询相关情况，但瑞星没有接到病毒造成用户实际损失的报告。目前瑞星公司正在对其进行密切关注。专家分析说，因为目前是周五，国内股市已经停止了交易，相信此病毒不会造成太大的危害。

　　三、病毒的特性、发现与清除：

　　1．该病毒运行后将自动复制到目录“Windows”下，病毒文件名为“SYSTEM32.EXE”。

　　2．在注册表启动项下添加键值“"System" = "%WINDIR%\SYSTEM32.EXE"”，实现开机自启动。

　　3．病毒每隔2秒监测当前的窗口标题是否包含下列字眼：“交易登录”、“南方证券网上交易”、“网上股票交易系统”、“华夏稳赢网上交易系统”、“国泰君安证券-富易”、“网上交易委托系统”、“用户登录 - 兴业证券”。如果是，则病毒会纪录用户的键盘输入，且每隔三分钟将屏幕截图保存为文件，连同用户的键盘输入纪录一起发送到指定的邮箱。借助于这些窃取的资料，黑客可以对用户的股票账户进行操作，恶意买卖，造成资金损失。

　　用户如果在自己的计算机中发现以上全部或部分现象，则很有可能中了“股票窃密者”病毒，为避免用户遭受损失，瑞星公司已于当日进行了升级。瑞星杀毒软件2004版、瑞星在线杀毒、瑞星杀毒软件2004“下载版”，这三款产品每工作日正常升级，遇到重大病毒会第一时间提供解决方案。如果用户遇到异常情况，还可拨打瑞星反病毒急救电话：010-82678800寻求帮助。

　　四、瑞星反病毒专家的安全建议：

　　1. 建立良好的安全习惯。例如：对一些来历不明的邮件及附件不要打开，不要上一些不太了解的网站、不要执行从 Internet 下载后未经杀毒处理的软件等，这些必要的习惯会使您的计算机更安全。

　　2. 关闭或删除系统中不需要的服务。默认情况下，许多操作系统会安装一些辅助服务，如 FTP 客户端、Telnet 和 Web 服务器。这些服务为攻击者提供了方便，而又对用户没有太大用处，如果删除它们，就能大大减少被攻击的可能性。

　　3. 经常升级安全补丁。据统计，有80%的网络病毒是通过系统安全漏洞进行传播的，象红色代码、尼姆达等病毒，所以我们应该定期到微软网站去下载最新的安全补丁，以防范未然。

　　4. 使用复杂的密码。有许多网络病毒就是通过猜测简单密码的方式攻击系统的，因此使用复杂的密码，将会大大提高计算机的安全系数。

　　5. 迅速隔离受感染的计算机。当您的计算机发现病毒或异常时应立刻断网，以防止计算机受到更多的感染，或者成为传播源，再次感染其它计算机。

　　6. 了解一些病毒知识。这样就可以及时发现新病毒并采取相应措施，在关键时刻使自己的计算机免受病毒破坏：如果能了解一些注册表知识，就可以定期看一看注册表的自启动项是否有可疑键值；如果了解一些内存知识，就可以经常看看内存中是否有可疑程序。

　　7. 最好是安装专业的防毒软件进行全面监控。在病毒日益增多的今天，使用毒软件进行防毒，是越来越经济的选择，不过用户在安装了反病毒软件之后，应该经常进行升级、将一些主要监控经常打开（如邮件监控）、遇到问题要上报， 这样才能真正保障计算机的安全。