本周受关注恶意软件： 病毒名：Trojan-Ransom.Win32.Fury.a 文件大小: 67584字节 创建文件: %appdata%UpdSysDrv32Xz32[8位随机字母].exe 创建注册表: HKEY_LOCAL_MACHINE]SOFTWAREMicrosoftWindows UpdSysDrvNamxz32=”[8位随机字母].exe” [HKEY_CURRENT_USER]SoftwareMicrosoftWindowsCurrentVersionRun UpdSysDrvX32z32=”%appdata%UpdSysDrv32Xz32[8位随机字母].exe” 主要行为： 这是一个木马程序，运用了PE映像切换的技术，将恶意代码注入到系统程序”svchost.exe”。首先，它会通过挂起的方式打开系统进程”svchost.exe”，然后通过ZwMapViewOfSection、ZwUnmapViewOfSection、ZwCreateSection等Native API将svchost.exe映射在内存中并修改了svchost.exe的入口点，使其跳转到恶意代码的入口。然后，它会利用ZwResumeThread恢复挂起的svchost.exe进程，使恶意代码被运行。恶意代码运行后，会从远程地址下载其他恶意程序；遍历所有硬盘并加密以下后缀名的文件”*.odp|*.xls|*.mdb|*.wb2|*.cdr|*.cr2|*.orf|*.srw|*.p7b|*.odm |*.accdb|*.mdf|*.dng|*.dcr|*.raf|*.x3f|*.p7c|*.odc|…”，然后弹出带有支付地址的锁屏窗口，提示用户支付相应费用来换取解密文件，从而达到敲诈勒索的目的。 专家预防建议: 建立良好的安全习惯，不打开可疑邮件和可疑网站。 不要随意接收聊天工具上传送的文件以及打开发过来的网站链接。 使用移动介质时最好使用鼠标右键打开使用，必要时先要进行扫描。 现在有很多利用系统漏洞传播的病毒，所以给系统打全补丁也很关键。 为本机管理员账号设置较为复杂的密码，预防病毒通过密码猜测进行传播，最好是数字与字母组合的密码。 不要从不可靠的渠道下载软件，因为这些软件很可能是带有病毒的。