26日病毒预报：木马家族添新丁 后门型病毒现身

【51CTO.com 独家报道】51CTO安全频道今日提醒您注意：在今天的病毒中“金盾”变种nz、“TrojanDownloader.Delf”变种iiu、“网游盗号木马165969”、“间谍感染虫151552” 、“广告虫”、“Dcom机器人”和“Win32.SillyDl.DOQ”都值得关注。

一、今日高危病毒简介及中毒现象描述：

◆“金盾”变种nz是“金盾”木马家族的最新成员之一，采用Microsoft Visual C++ 6.0编写，并经过加多层保护壳处理。“金盾”变种nz运行后，在被感染计算机系统的%SystemRoot%\system32目录下释放恶意DLL组件程序msvcrl.dll，文件信息伪装成微软的版权信息和描述信息。在被感染计算机系统的后台篡改系统IE浏览器程序文件，向其中添加恶意代码，致使用户一运行IE浏览器就会先加载运行msvcrl.dll，后执行IE浏览器本身的功能操作。当系统IE浏览器执行完msvcrl.dll后就会自动关闭退出，致使用户无法正常使用系统IE浏览器长时间去浏览网页。在被感染计算机系统的后台连接骇客指定的远程服务器站点，获取其它恶意程序下载列表，在被感染计算机上下载并全部调用执行，严重威胁用户计算机信息安全。另外，“金盾”变种nz可能会在被感染计算机系统的后台盗取MSN、ICQ、YAHOO等即时聊天工具和Outlook中用户的登陆帐号和登陆密码，并将这些信息发送给骇客，给用户带来不同程度的损失。

◆“TrojanDownloader.Delf”变种iiu是“TrojanDownloader.Delf”木马下载器家族的最新成员之一，采用Delphi语言编写，并经过加壳压缩处理。“TrojanDownloader.Delf”变种iiu运行后，自我复制到系统盘的指定目录下，并在临时文件夹下释放一个恶意驱动文件，文件名随机生成。该恶意驱动文件利用了磁盘过滤驱动技术和关机HOOK技术，可以直接挂接磁盘IO端口进行读写真实磁盘物理地址中的数据和进行监控关机行为等操作。“TrojanDownloader.Delf”变种iiu利用该恶意驱动文件将自身复制并保存到被感染计算机系统的真实磁盘的指定目录下，达到穿透“还原保护系统”的目的。当用户关闭或重新启动计算机时，这个恶意驱动文件还会把“TrojanDownloader.Delf”变种iiu重新写入到真实磁盘中对应的“启动”文件夹里，致使“TrojanDownloader.Delf”变种iiu每次开机都可以利用“启动”文件夹来实现开机自动运行。连接指定站点，下载一系列恶意程序并在被感染计算机上自动调用执行。其中，所下载的恶意程序可能为木马下载器、可进行远程完全控制的后门或网络游戏盗号木马等，给被感染计算机用户带来极大的损失。

◆“网游盗号木马165969” 病毒进入电脑后，释放出三个病毒文件，分别为%WINDOWS%目录下的TIMHost.exe，以及%WINDOWS%\system32\目录下的SVKP.sys和TIMHost.dll，然后修改注册表启动项，把自己主文件TIMHost.exe的相关数据写入其中，实现开机自启动之目的。

病毒运行后，在系统中查找网络游戏《魔域》和“浩方”对战平台的进程，如果发现，就把DLL文件加载到其中，利用读取内存的方式盗取用户的账号信息。

如成功得手，病毒就在用户无法察觉的情况下建立远程连接，通过网页提交的方式把相关信息发送到木马种植者指定的网址http://www.x*****520.com/zhanggui3/lin1.asp，给用户造成虚拟财产的损失。

◆“间谍感染虫151552”如果病毒顺利进入了用户系统，它会在系统盘的%WINDOWS%\Fonts\system\目录下释放出病毒主文件ati2evxx.exe，并在全部磁盘分区的根目录下生成AUTO病毒文件ntldr.exe和autorun.inf。只要用户在中毒电脑上使用U盘等移动存储设备，病毒就会立即将其传染。

文件释放完毕后，病毒修改系统注册表启动项中的相关数据，使自己实现开机自启动。当它运行起来，就迅速查找并劫持已安装的安全软件，造成它们失效，几乎所有著名安全软件都在它的“黑名单”中。而被解除武装的电脑，会很容易受到外部恶意程序的攻击。

接着，病毒搜索并感染电脑上的EXE文件，除系统目录、QQ聊天软件，以及少数游戏程序漏网之外，几乎所有EXE文件都会被感染。它会向被感染的文件中新增.ani节，并修改入口点为病毒的代码起始位置，被感染文件运行后会释放一个名为ani.ani的临时文件并运行，然后使用ani.ani.bat删除自身，使得用户无法找到病毒源。

完成以上步骤后，病毒就开始收集用户计算机名字和网卡物理地址等信息，发送至木马种植者指定的远程网址http://i*2.3**86.com，并统计中毒者人数。同时，它还尝试连接hxxp://m.8q8.xxx、hxxp://a.9gg.xxx、hxxp://f.935425.xxx等多个由木马种植者指定的地址，下载更多恶意程序至用户计算机。

◆“广告虫”该病毒属于木马类，主要通过捆绑软件传播，运行后有如下行为：释放副本到%System32%文件夹下，衍生两个dll文件，添加注册表Dll文件加载项，以跟随系统引导病毒体。之后插入病毒文件到IE进程中，连接网络，弹出某餐饮店的宣传页面。由于病毒会破坏掉exploer.exe文件的加载，中毒用户会出现看不到“桌面”的情况。

◆“Dcom机器人”该病毒体为后门型病毒，运行后会在%system32%目录衍生出名为mdm.exe的病毒副本，并添加注册表自动运行以跟随系统启动病毒体。病毒首先通过网络连接指定的IRC服务器，以通知服务端成功感染主机。之后创建大量线程扫描本地网络，搜索具有DCOM RPC漏洞的主机，一旦发现，通过自身的溢出代码攻击对方，如果没有此漏洞，则通过本身带有的密码列表，试图传播自身。

◆Win32.SillyDl.DOQ是一种下载的特洛伊病毒。Win32/SillyDl变体可能是用户访问恶意网页时，通过Internet Explorer浏览器安装的，其它的特洛伊下载器或程序，或者是用户选择安装的软件包。Win32/SillyDl变体可能下载其它的特洛伊病毒，或者没有病毒的程序例如广告软件。同时，它会尝试下载更新。这种病毒通常利用HTTP下载。

二、针对以上病毒，51CTO安全频道建议广大用户：

1、最好安装专业的杀毒软件进行全面监控并及时升级病毒代码库。建议用户将一些主要监控经常打开，如邮件监控、内存监控等，目的是防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。

2、请勿随意打开邮件中的附件，尤其是来历不明的邮件。企业级用户可在通用的邮件服务器平台开启监控系统，在邮件网关处拦截病毒，确保邮件客户端的安全。

3、企业级用户应及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒。另外为保证企业信息安全，应关闭共享目录并为管理员帐户设置强口令，不要将管理员口令设置为空或过于简单的密码。

截至记者发稿时止，江民、金山、安天、冠群金辰的病毒库均已更新，并能查杀上述病毒。感谢江民科技、金山毒霸、冠群金辰和安天为51CTO安全频道提供病毒信息。

【相关文章】

• 更多病毒日报

• 更多病毒周报