15日病毒预报：盗号木马盛行 小心邮件蠕虫

【51CTO.com 独家报道】51CTO安全频道今日提醒您注意：在今天的病毒中“视频宝宝”变种、“QQ游贼”变种、“奇迹盗号木马143360”、“广告弹射器401408”和“Win32/Cutwail.CM”都值得关注。

一、今日高危病毒简介及中毒现象描述：

◆“视频宝宝”变种会在被感染计算机系统的指定目录下创建病毒文件。修改注册表，实现木马开机自动运行。在被感染计算机系统的后台调用系统计算器进程“calc.exe”。连接骇客指定站点，下载大量恶意程序并在被感染计算机上自动运行，给用户带来不同程度的损失。另外，“视频宝宝”变种ud会识别当前计算机的系统版本，然后针对不同的系统执行不同的恶意操作。

◆“QQ游贼”变种采用HOOK技术，在被感染计算机系统的后台盗取用户的QQ帐号、QQ密码、QQ币数量、计算机名称等信息，并在后台将窃取到的帐号信息发送到骇客指定站点上或指定的邮箱里，给用户带来不同程度的损失。修改注册表，实现木马开机自动运行。另外，“QQ游贼”变种fz还具有躲避某些防火墙监控的功能，降低被感染计算机上的安全性。

◆“奇迹盗号木马143360”病毒进入用户系统后，在系统盘根目录下创建一个“Recycler”文件夹，然后把病毒文件qj.exe和qj.dll释放到里面。然后搜索电脑中是否存在“瑞星”杀毒软件的进程，如果没有，就进行下一步动作。

它搜索网络游戏《奇迹世界》的主程序“VMModule._ex”，将其改名为“SNU.exe”，并设为隐藏模式。接着，把病毒文件qj.exe复制到VMModule._ex所在的文件夹，并把它改名为“VMModule._ex”，俨然扮成游戏主程序的模样。把自己伪装成游戏主程序的好处，在于可能让用户点击病毒文件进入游戏，趁机截获用户输入的密码。

如果这一招不灵，病毒还有留有一手。它在完成以上动作的同时，也会把qj.dll文件注入到系统桌面进程中，查找游戏进程，以内存读写的方式盗取帐号和密码。

◆“广告弹射器401408”病毒进入电脑后，在系统盘中释放出7个病毒文件，分别是%WINDOWS%目录下的mwinsys.ini，%WINDOWS%\system32\目录下的AlxRes070826.exe，
%WINDOWS%\system32\inf\目录下的scrsys070826.scr、scrsys16_070826.dll、winsys16_070826.dll和winsys32_070826.dll。如果用户电脑上设置有D盘，病毒也会在其根目录下生成一个病毒文件myplayer.com。文件释放完毕后，病毒就在系统盘根目录下生成一个myDelm.bat批处理文件，利用它将自己的原始文件删除，使用户无法查到病毒源。

病毒修改注册表中的数据，实现开机自运行后，就立即查找目前主流的安全软件的进程，将它们的警告提示框和任务窗口全部关闭。这样，它接下去的破坏行为便可畅通无阻。

然后，病毒悄悄连接木马种植者安排的远程服务器，下载一份网页地址列表，按其中的地址去自动登录广告网站，为它们“贡献”流量。同时，它还会从211.1*5.*0.2*8:8080这个由木马种植者指定的地址下载升级文件，实现自我更新。需要提及的时是，该病毒为扩大自己的传播范围，会试图利用QQ进行传播，大家应提高警惕。

◆Win32/Cutwail.CM是一种带有rootkit功能的特洛伊病毒，能够修改系统的winlogon.exe文件。它可能用来下载并运行任意文件，将它们保存到磁盘或者注入其它的程序。同时，这些文件被用来发送大量的邮件和更新Cutwail的最新变体。

二、针对以上病毒，51CTO安全频道建议广大用户：

1、最好安装专业的杀毒软件进行全面监控并及时升级病毒代码库。建议用户将一些主要监控经常打开，如邮件监控、内存监控等，目的是防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。

2、请勿随意打开邮件中的附件，尤其是来历不明的邮件。企业级用户可在通用的邮件服务器平台开启监控系统，在邮件网关处拦截病毒，确保邮件客户端的安全。

3、企业级用户应及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒。另外为保证企业信息安全，应关闭共享目录并为管理员帐户设置强口令，不要将管理员口令设置为空或过于简单的密码。

截至记者发稿时止，江民、金山、冠群金辰的病毒库均已更新，并能查杀上述病毒。感谢江民科技、金山毒霸和冠群金辰为51CTO安全频道提供病毒信息。

【相关文章】

• 更多病毒日报

• 更多病毒周报