19-21日病毒预报：木马家族添新丁小心“袜子虫”变种

煎饼 · 发表于 2008-7-21 09:08:05

51CTO安全频道今日提醒您注意：在今后3天的病毒中“木马注入器”变种dn、“袜子虫”变种e、“U盘寄生虫”变种os、“摩登王”变种ah 、“焦点间谍”变种ff、“彩带”变种c、“AV终结者ww”和“偷盗者变种appy”都值得关注。

一、高危病毒简介及中毒现象描述：

◆“木马注入器”变种dn是“木马注入器”木马家族的最新成员之一，采用VC++编写。“木马注入器”变种dn运行后，在被感染计算机系统的“%SystemRoot%\system32\”目录下释放木马组件文件，文件名为win***32.dll（“*”表示随机字母）。修改注册表，实现木马开机自动运行。启动“iexplore.exe”进程，将恶意代码注入其中加载运行，隐藏自我，躲避安全软件的查杀。在被感染计算机后台连接骇客指定站点，下载恶意程序并在被感染计算机上自动运行。所下载的恶意程序可能包含网游木马、恶意广告程序、后门等，给用户带来极大的损失。

◆“袜子虫”变种e是“袜子虫”蠕虫家族的最新成员之一，采用高级语言编写，并经过添加保护壳处理。“袜子虫”变种e运行后，自我复制到被感染计算机系统的“%SystemRoot%\”目录下，并重新命名为“wkssvr.exe”。将自身添加为启动项，实现蠕虫开机自动运行。在后台收集被感染计算机上的信息，并发送到骇客指定站点。通过MSN将自身发送给用户的好友，利用MSN进行传播。连接骇客指定服务器站点，侦听骇客指令，骇客可通过“袜子虫”变种e远程控制被感染计算机，进行恶意操作，可能的恶意操作包括：下载并运行指定的应用程序、终止特定的进程、任意文件操作等，严重威胁用户的计算机安全。另外，“袜子虫”变种e还能够自升级。

◆“U盘寄生虫”变种os是“U盘寄生虫”蠕虫家族的最新成员之一，采用Delphi编写，由某个木马程序释放出来的DLL木马组件文件，一般被注入到“EXPLORER.EXE”进程中加载运行，隐藏病毒程序，躲避安全软件的查杀。“U盘寄生虫”变种os运行后，强行篡改被感染计算机上的系统时间，致使某些安全软件失效。修改hosts文件，屏蔽某些安全站点，阻止用户对某些安全站点的访问。在被感染的计算机上搜索与安全相关的软件，一旦发现便强行将其关闭，大大降低了被感染计算机上的安全性。在计算机硬盘的各盘符根目录下以及移动存储设备根目录下创建“autorun.inf”文件和蠕虫主程序文件“auto.exe”，实现双击盘符启动“U盘寄生虫”变种os病毒程序运行的目的，从而利用U盘、移动硬盘等进行自我传播。“U盘寄生虫”变种os还会在后台秘密收集被感染计算机上的系统信息，并发送到骇客指定的远程服务器站点上。在被感染计算机上下载恶意程序并自动调用运行。其中，所下载的恶意程序可能是网游木马、广告程序（流氓软件）、后门等，给被感染计算机用户带来不同程度的损失。

◆“摩登王”变种ah是“摩登王”木马家族的最新成员之一，采用高级语言编写，并经过添加保护壳处理，由其它木马程序释放出的DLL木马组件，一般通过修改注册表来实现木马开机自动运行。“摩登王”变种ah运行后，将病毒代码注入到“explorer.exe”中加载运行，隐藏自我，躲避安全软件的查杀。不定时弹出广告窗口，严重影响用户的正常操作。在后台秘密收集被感染计算机的系统信息并发送到骇客指定的服务器上。下载恶意程序并在被感染计算机上自动调用运行。其中，所下载的恶意程序可能是网游木马、广告程序（流氓软件）、后门等，给用户带来不同程度的损失。

◆“焦点间谍”变种ff是“焦点间谍”木马家族的最新成员之一，采用Delphi编写，由其它木马程序释放出来的木马功能组件，一般被注入到“EXPLORER.EXE”进程中加载运行，隐藏病毒程序，躲避安全软件的查杀。“焦点间谍”变种ff运行后，强行篡改被感染计算机上的系统时间，致使某些安全软件失效。在被感染的计算机上搜索与安全相关的软件，一旦发现便强行将其关闭，大大降低了被感染计算机上的安全性。在后台连接骇客指定的服务器，下载恶意程序并在被感染计算机上自动调用运行。其中，所下载的恶意程序可能包含网游木马、恶意广告程序、后门等，给用户带来不同程度的危害。另外，“焦点间谍”变种ff还会在各个盘符根目录下创建“autorun.inf”文件以及木马程序文件“auto.exe”，实现双击盘符启动病毒运行的目的。

◆“彩带”变种c是“彩带”木马家族的最新成员之一，采用高级Rootkit技术编写而成。“彩带”变种b运行后，修改注册表，致使被感染计算机在正常启动和安全模式启动时都能够自动加载“彩带”变种c运行。挂钩系统服务，监视新进程的创建，实现用户运行任意程序时，“彩带”变种c能够把其它木马组件插入到用户运行的程序中。挂钩系统函数，隐藏病毒文件和病毒在注册表中的启动项，防止被安全软件所查杀。用户计算机一旦感染该病毒，则很难清除干净。

◆“AV终结者ww” 该病毒为“AV终结者”的变种，病毒运行后，在%System32%下创建主文件名为随机6位字母的jfgdaz.exe，将%System32%\drivers\目录下的beep.sys替换为同名的病毒文件,并同一目录下衍生另一个主文件名为随机6位字母的驱动文件ababop.sys，在%Temp%下衍生_tmp.bat，由病毒服务加载后便删除此文件；新增注册表项，创建两个服务名都为随机字母的病毒服务，映像劫持多个系统进程、多款安全软件进程，以降低系统的安全性；连接网络，下载病毒列表文件css.txt，然后对照css.txt列表内容来下载大量病毒文件并在本机运行，经分析大多数病毒文件为网络游戏盗号木马；该病毒在实现完自身代码后，便会结束自身进程，删除自身。

◆“偷盗者变种appy” 该病毒为QQ华夏2盗号木马，病毒运行之后获取系统目录,在%System32%目录下释放病毒文件：vlhxaklo.sys、jkhxaklo.dll、qbhxaklo.sys，并将自身复制到此目录下命名为：dehxaklo.exe，调用API函数SetFileAttributesA修改病毒文件属性，将文件修改日期修改为2004-08-08并将属性修改为隐藏，使用户无法轻易发现病毒文件，新增注册表项，创建CLSID值，添加到HOOK项启动，将病毒DLL注册为BHO 浏览器辅助对象，并将jkhxaklo.dll病毒文件注入到Explorer.exe进程中，遍历进程查找hx2game.exe进程名，如找到则调用API函数TerminateProcess将游戏进程结束，目的使用户再次登陆时以便记录帐号及密码，获取临时目录释放BAT批处理文件，等待病毒完全加载执行完毕后删除病毒自身。
病毒jkhxaklo.dll文件的行为：监视QQLogin.exe登陆窗口一但发现将密码用户名截取后，通过以URL方式发送到作者指定的地址中。

二、针对以上病毒，51CTO安全频道建议广大用户：

1、最好安装专业的杀毒软件进行全面监控并及时升级病毒代码库。建议用户将一些主要监控经常打开，如邮件监控、内存监控等，目的是防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。

2、请勿随意打开邮件中的附件，尤其是来历不明的邮件。企业级用户可在通用的邮件服务器平台开启监控系统，在邮件网关处拦截病毒，确保邮件客户端的安全。

3、企业级用户应及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒。另外为保证企业信息安全，应关闭共享目录并为管理员帐户设置强口令，不要将管理员口令设置为空或过于简单的密码。

截至记者发稿时止，江民、安天的病毒库均已更新，并能查杀上述病毒。感谢江民科技和安天为51CTO安全频道提供病毒信息。