22日病毒预报：盗号木马很嚣张 小心“间谍虫”

【51CTO.com 独家报道】51CTO安全频道今日提醒您注意：在今天的病毒中“紫萝卜”变种eam、“QQ大盗”变种dax、“劫持式下载器127109”、“盗号下载者101715” 、“疯狂下载者变种”、“间谍虫”和“Win32.SillyDl.DOP”都值得关注。

一、今日高危病毒简介及中毒现象描述：

◆“紫萝卜”变种eam是“紫萝卜”木马下载器家族的最新成员之一，采用VC++ V7.0-8.0编写，并经过加壳保护处理。“紫萝卜”变种eam运行后，屏幕弹出虚假错误提示信息。提示信息内容为：“Cannot install VideoAccessCodec application.Error 118: Windows components conflict.Try to reinstall operation system and try again.”。用户点击“确定”按钮后程序并没有关闭退出，而是在后台继续运行。在被感染计算机的后台搜集用户系统中的关键信息，根据不同版本的操作系统定时下载不同的恶意程序，大大降低了被感染计算机的安全性。另外，“紫萝卜”变种eam很可能在被感染计算机系统的IE浏览器中安装恶意广告工具条。

◆“QQ大盗”变种dax是“QQ大盗”木马家族的最新成员之一，采用Delphi语言编写， 并经过加壳保护处理。“QQ大盗”变种dax运行后，自我插入到被感染计算机系统的“explorer.exe”进程中加载运行，隐藏自我，防止被查杀。修改注册表，实现木马开机自动运行。在被感染计算机系统的后台删除用户计算机中的腾讯QQ医生程序“qqdoctor.exe”，盗取用户的QQ帐号、QQ密码、会员信息、IP地址、IP所属区域等信息，并在后台将这些信息发送到骇客指定的远程服务器站点上或邮箱里。在被感染计算机系统的后台连接骇客指定远程服务器站点，下载恶意程序“kav.exe”（木马下载器）并在被感染计算机上自动调用安装运行，给用户带来极大的损失。

◆“劫持式下载器127109” 病毒进入系统后，在系统盘中释放出三个病毒文件，分别是%Program Files%目录下的meex.exe、%Program Files%\Common Files\Microsoft Shared\目录下的.exe，以及%Program Files%\Common Files\System\下的.exe。需要注意的是，这两个“.exe”进程名字为空，对用户具有一定的迷惑作用，并且它们互为保护，使用普通方法无法结束其进程。

随后，病毒修改系统注册表启动项，将自己的相关信息加入其中，实现开机自启动。同时，为便于以后开展破坏，它会搜索并劫持系统中已安装的安全软件，令它们失效。包括毒霸、瑞星、卡巴斯基、诺顿、QQ医生等在内的常见安全产品都是它的劫持目标。

当解决掉安全软件，病毒就在用户无法察觉的情况下建立远程连接，从木马种植者指定的地址www.w*****.com下载名为TDown1.exe和ReadDown.txt的下载列表，然后根据它们里面的地址去下载更多其它恶意程序到用户电脑上运行，给用户系统造成无法估计的破坏。

此外，病毒在发作时，会监视用户的文件夹浏览情况，如发现用户试图打开病毒藏匿的文件夹，就会将窗口关闭。如果用户在自己电脑上发现这种情况，那很有可能就是中了此毒。

◆“盗号下载者101715” 病毒进入用户的系统后，会在系统盘的%WINDOWS%\Temp\目录下释放出病毒文件*dw.dll   (*号代表病毒原始文件的文件名)。然后，它迅速展开监视，只要发现用户试图打开杀毒软件“江民”和安全辅助软件“360安全卫士”，就关闭它们的窗口，使得用户无法利用这些安全产品查杀病毒。如果用户电脑中安装有杀毒软件“卡巴斯基”，病毒会修改系统时间为2004年，造成卡巴斯基失效。

接着，病毒在系统盘的%windows%\system32\目录下查找是否存在windows系统“KB908531”号安全更新的程序 “VerClsid.exe”文件，则删除，以便于自己能更顺利的进行破坏。

等扫清障碍，病毒就调用之前生成的病毒文件，注入系统桌面进程explorer.exe中，展开全局监视，如果发现系统上安装得有网络游戏《问道》，就注入游戏内存，读取帐号信息并发送给木马种植者。

除盗窃网游帐号信息外，该病毒还会在后台悄悄连接木马种植者指定的远程地址 http:/ /www.c*t**6*6.com，下载一份病毒列表，然后按照列表中的地址去下载更多其它木马程序，给用户的系统造成更多威胁。

◆“疯狂下载者变种” 该病毒是一个下载者类型病毒，病毒体通过移动设备传播。病毒体得到运行后，会连接网络指定地址，按照一个预先设定好的地址列表来下载病毒体到本机运行，下载的病毒包括蠕虫、木马、后门类型的病毒。病毒在每一个分区包括移动设备根目录下衍生autorun.inf、ntldr.exe文件，来达到当用户双击磁盘分区时，激活病毒体的目的。病毒下载大量的盗号程序，包括盗取QQ，各类网络游戏程序的木马病毒。病毒体下载的大量病毒所造成的链式反应，最终会导致系统变慢，最后发生蓝屏重启现象。如用户发现出现上述症状，请即时使用安全软件扫描全盘查杀病毒。

◆“间谍虫”该病毒体为蠕虫类型，运行后会在后台连接大量网站，造成网络资源紧张。连接过程中会下载安装各类间谍软件，并在桌面产生一个名为“零点电影网”的链接图标。病毒会在注册表中添加相关DLL文件加载项以跟随系统引导病毒体。病毒程序修改一些安全软件的注册表映像执行设置，导致程序不可用。还会设置钩子过程，截获游戏账号等敏感信息发送出去。并开放本地后门，等待远程连接。受感染用户会出现网络间歇性繁忙，桌面出现陌生网站链接图标，IE窗口出现额外的工具条等现象。

◆Win32.SillyDl.DOP是一种下载的特洛伊病毒。Win32/SillyDl变体可能是用户访问恶意网页时，通过Internet Explorer浏览器安装的，其它的特洛伊下载器或程序，或者是用户选择安装的软件包。Win32/SillyDl变体可能下载其它的特洛伊病毒，或者没有病毒的程序例如广告软件。同时，它会尝试下载更新。这种病毒通常利用HTTP下载。

二、针对以上病毒，51CTO安全频道建议广大用户：

1、最好安装专业的杀毒软件进行全面监控并及时升级病毒代码库。建议用户将一些主要监控经常打开，如邮件监控、内存监控等，目的是防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。

2、请勿随意打开邮件中的附件，尤其是来历不明的邮件。企业级用户可在通用的邮件服务器平台开启监控系统，在邮件网关处拦截病毒，确保邮件客户端的安全。

3、企业级用户应及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒。另外为保证企业信息安全，应关闭共享目录并为管理员帐户设置强口令，不要将管理员口令设置为空或过于简单的密码。

截至记者发稿时止，江民、金山、安天、冠群金辰的病毒库均已更新，并能查杀上述病毒。感谢江民科技、金山毒霸、冠群金辰和安天为51CTO安全频道提供病毒信息。

• 更多病毒日报

• 更多病毒周报