26-28日病毒预报：周末需防范木马病毒新变种

【51CTO.com 独家报道】51CTO安全频道今日提醒您注意：在今后3日的病毒中“苍蝇贼”变种bc 、“键盘终结者”变种he、“网游窃贼”变种ki、“隐形杀手”变种b 、“伪颗粒”变种m、“小偷派克斯”变种ayu、“木马下载者gkm”和“盗号木马zfe”都值得关注。

一、高危病毒简介及中毒现象描述：

◆“苍蝇贼”变种bc是“苍蝇贼”木马家族的最新成员之一，采用高级语言编写。“苍蝇贼”变种bc运行后，自我复制到被感染计算机系统的“%SystemRoot%\system32\”目录下，重命名为“IErcservice.exe”，文件属性设置为“系统、隐藏”。自我注册为系统服务，实现木马开机自动运行。在“%SystemRoot%\system32\”目录下释放DLL木马组件文件“IErcservice.dll”（属性设置为“系统、隐藏”），将其注入到“IEXPLORE.EXE”进程中加载运行，隐藏自我，躲避某些安全软件的查杀。在被感染计算机系统后台秘密监视用户的键盘输入，窃取用户输入的账号及密码等信息，给用户带来一定程度的损失。在后台秘密连接骇客指定的服务器站点，侦听骇客指令，在被感染的计算机上进行恶意操作，骇客可通过“苍蝇贼”变种bc远程控制被感染的计算机系统，给用户的计算机安全、个人隐私，甚至商业机密造成严重威胁。另外“苍蝇贼”变种bc还具有自我删除的功能，以便消除痕迹。

◆“键盘终结者”变种he是“键盘终结者”木马家族的最新成员之一，采用VB编写，并经过添加保护壳处理，自身图标伪装成图片文件的图标，诱骗用户点击运行。“键盘终结者”变种he运行后，自我复制到被感染计算机系统的“%SystemRoot%\system32\”目录下，重命名为“Ctfnon.exe”。将自身添加为启动项，实现木马开机自动运行。将自身添加到某些防火墙程序的白名单中，以此隐藏自我，防止被查杀。在被感染计算机系统后台秘密监视用户的键盘输入，窃取用户输入的账号及密码等信息，并利用自带的SMTP引擎将窃取到的机密信息发送到骇客指定的邮箱里，可能会给用户造成一定程度的损失。

◆“网游窃贼”变种ki是“网游窃贼”间谍类木马家族的最新成员之一，采用高级语言编写，并经过添加保护壳处理。“网游窃贼”变种ki运行后，在被感染计算机系统“%SystemRoot%\system32\”目录下释放木马组件文件“hjukrt.dll”和“dfxh.dll”。将释放出来的木马组件插入到所有进程中运行，隐藏自身，躲避安全软件的查杀。修改注册表，实现木马开机自动运行。强行篡改系统时间，致使某些安全软件失效。采用HOOK技术和内存截取技术，盗取《跑跑卡丁车》、《浩方对战平台》和《风云》等多款网络游戏玩家的游戏帐号、游戏密码、角色等级、游戏区服、计算机名称等信息，并在被感染计算机的后台将窃取到的玩家信息以表单的方式提交到骇客指定的远程服务器站点上，造成玩家的游戏帐号、装备物品、金钱等丢失，给用户带来一定程度的损失。查找并强行关闭大量流行的安全软件，极大地降低了被感染计算机系统的安全性。另外，“网游窃贼”变种ki能够自我删除，消除痕迹。

◆“隐形杀手”变种b是“隐形杀手”网络蠕虫家族的最新成员之一，采用高级语言编写。“隐形杀手”变种b运行后，自我复制到被感染计算机系统“%SystemRoot%\”目录下，重命名为“java.exe”。在“%SystemRoot%\system32\”目录下创建两个病毒副本，分别重命名为“WindowsUpdateServer.exe”和“Winupdate.exe”。修改注册表，实现网络蠕虫开机自动运行。在系统进程中查找数十种安全软件以及安全辅助工具，一旦发现便强行将其关闭，极大地降低了被感染计算机的安全性。在被感染计算机系统后台搜索*.htm、*.php、*.xls、*.asp等文件，查找有效的邮箱地址，利用自带的SMTP引擎群发带毒邮件。另外，“隐形杀手”变种b还会修改hosts文件，屏蔽大量安全站点，致使某些安全软件不能够进行在线升级。

◆“伪颗粒”变种m是“伪颗粒”木马家族的最新成员之一，采用高级语言编写，并经过添加保护壳处理。“伪颗粒”变种m运行后，在被感染计算机系统的“%SystemRoot%\system32\”目录下释放恶意程序“tavo.exe”。修改注册表，实现木马开机自动运行。在“%SystemRoot%\system32\”目录下释放DLL木马组件文件“tavo0.dll”，并将其插入到所有用户级权限的进程中加载运行，隐藏自我，防止被查杀。循环检测窗口标题，一旦发现标题中包含与安全相关的字符串便将其窗口强行关闭。在正在运行的进程列表中查找数十种安全软件以及安全辅助工具，一旦发现便强行将其关闭，大大地降低了被感染计算机上的安全性。窃取网络游戏玩家的游戏帐号、游戏密码、仓库密码、角色等级等信息，并在后台将玩家信息发送到骇客指定的远程服务器上，致使玩家的游戏帐号、装备物品、金钱等丢失，给游戏玩家带来非常大的损失。

◆“小偷派克斯”变种ayu是“小偷派克斯”木马家族的最新成员之一，采用VC+编写，并经过添加保护壳处理。“小偷派克斯”变种ayu运行后，自我复制到被感染计算机系统的“%SystemRoot%\system32\”目录下，文件名随机生成。将自身添加为启动项，实现木马开机自动运行。在“%SystemRoot%\system32\”目录下释放图片“phcpodj0eg11.bmp”并替换系统的当前桌面。在同一目录下释放屏保程序“blphcpodj0eg11.scr”并自动运行，该屏保伪造系统的蓝屏错误界面。强行篡改注册表信息，降低被感染计算机的安全设置。在后台秘密收集被感染计算机的信息，并发送到骇客指定的远程服务器上。连接骇客指定站点，下载恶意程序并在被感染计算机上自动运行，所下载的恶意程序可能包含网游木马、恶意广告程序、后门等，给用户带来不同程度的损失。另外，“小偷派克斯”变种ayu还具有自我删除的功能。

◆“木马下载者gkm” 该病毒为木马下载者病毒，病毒运行后获取系统文件夹路径，释放驱动文件到%system32%\drivers\目录下，重命名为uuid.sys，等待加载驱动成功后将该驱动文件删除，加载urlmon.dll调用urldownloadtofileaAPI函数，并隐藏创建IExplorer.exe进程写入224字节数据连接网络下载文件，将下载后的文件保存到%Documents and Settings%\当前所在用户\Local Settings\Temp目录下，重命名为：update.exe，并自动运行该病毒文件，衍生病毒DLL文件到%Windir%目录下并重命名为：linkinfo.dll并将其注入到Explorer.exe进程中，创建BAT文件删除自身，生成驱动文件%SystemRoot%\system32\drivers\ IsDrv118.sys (加载后删除)，并调用ZwSetSystemInformation加载驱动，病毒通过检查是否是在VMWare下运行，如果是直接关闭虚拟机，以此来防止自己在虚拟机中被运行，从"%Windir%"目录开始感染所有磁盘中后缀名为"exe"的文件，病毒在感染时，不感染"QQ"、"winnt"和"windows"目录下的程序文件，通过修改卡卡助手的驱动"%system32%\drivers\RsBoot.sys"入口，使该驱动在加载时失败，枚举并尝试向局域网中计算机的隐藏共享文件夹"%s\\IPC$"、"C$"等写入名称为"setup.exe"的病毒源文件，尝试连接时使用"Administrator"作为用户名。

◆“盗号木马zfe” 该病毒为盗窃网络游戏“传奇世界”账号木马，病毒运行后，复制病毒文件到系统目录%System32%下，命名为ttNNBNNB1047.exe，并在此目录下衍生病毒文件ttNNBNNB1047.dll；新增注册表项，把ttNNBNNB1047.dll注入到Explorer.exe进程，以达到随机启动的目的；通过截获用户的键盘和鼠标消息获取“传奇世界”的账号和密码，发送给病毒作者指定的URL。

二、针对以上病毒，51CTO安全频道建议广大用户：

1、最好安装专业的杀毒软件进行全面监控并及时升级病毒代码库。建议用户将一些主要监控经常打开，如邮件监控、内存监控等，目的是防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。

2、请勿随意打开邮件中的附件，尤其是来历不明的邮件。企业级用户可在通用的邮件服务器平台开启监控系统，在邮件网关处拦截病毒，确保邮件客户端的安全。

3、企业级用户应及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒。另外为保证企业信息安全，应关闭共享目录并为管理员帐户设置强口令，不要将管理员口令设置为空或过于简单的密码。

截至记者发稿时止，江民、安天的病毒库均已更新，并能查杀上述病毒。感谢江民科技和安天为51CTO安全频道提供病毒信息。