28日病毒预报：小心劫持者 警惕寄生虫

【51CTO.com 独家报道】51CTO安全频道今日提醒您注意：在明天的病毒中“网游木马”变种bh、“Hosts劫持者”变种rk、“间谍广告74752”、“寄生虫下载器57347” 、“后门终结者”、“邮件发送器”和“Win32.Mytob.LA”都值得关注。

一、今日高危病毒简介及中毒现象描述：

◆“网游木马”变种bh是“网游木马”木马家族的最新成员之一，采用Delphi语言编写。“网游木马”变种bh采用HOOK技术和内存截取技术，在后台秘密监视用户打开的窗口标题，盗取网络游戏《破天一剑》玩家的游戏帐号、游戏密码、仓库密码、角色等级等信息，并在后台将玩家信息发送到骇客指定的远程服务器上，致使《破天一剑》游戏玩家的游戏帐号、装备物品、金钱等丢失，给游戏玩家带来非常大的损失。修改注册表，实现木马开机自动运行。

◆“Hosts劫持者”变种rk是“Hosts劫持者”木马家族的最新成员之一，采用VC++ 6.0编写，并经过加壳保护处理。“Hosts劫持者”变种rk运行后，自我复制到被感染计算机系统的指定目录下，并重新命名保存。修改注册表，实现木马开机自动运行。在被感染计算机系统的后台强行篡改系统hosts文件，通过域名映像劫持的方式阻止用户对某些常见安全网站的访问；或者把域名地址指向骇客指定的远程服务器IP地址上，从而提高指定站点的访问量，严重干扰用户的正常上网和操作。

◆“间谍广告74752” 病毒进入电脑系统后，在系统盘%Program Files%目录下生成一个“SearchRelevancy”文件夹，并在里面释放出病毒文件earchRelevancy.dll和SearchRelevancy.xml。在%WINDOWS%\system32\目录下还会生成一个病毒文件ide21201.vxd。

等文件释放完毕，病毒就修改系统注册表中的相关数据，将自己注册为浏览器插件，只要当用户一启动IE浏览器，病毒程序就能自动加载。如果顺利运行起来，病毒会记录用户使用浏览器时浏览的网址，以及搜索的关键字等，然后将这些收集到的信息发送到木马种植者指定的服务器http://www.g***u.com/search上进行分析，并根据分析的结果在用户系统上弹出广告窗口。

此外，该病毒具备一定的自我更新功能。它会在后台悄悄连接连接木马种植者安排的升级服务器http://updates.tr**f*e.com/index.php下载升级文件，从而具备新的破坏功能。

◆“寄生虫下载器57347” 此病毒为感染型病毒，它运行后会释放出感染源到系统临时目录，并立即遍历磁盘和网络共享盘，寻找系统中全部的exe文件进行感染。同时，为防止杀毒软件升级后具备查杀自己的能力，它会抢先搜索并关闭卡巴斯基、江民、瑞星、麦咖啡等常见的杀毒软件。

当感染exe文件成功后，病毒就利用这些文件的运行空间创建自己病毒服务。如果用户注意检查系统进程，会发现名称为“ntapisvc”，描述为“Windows api Security Center”的系统服务，这就是该病毒的服务进程。

如果以上步骤都顺利实现，病毒便在用户无法察觉的情况下建立远程连接，从网上下载更多其它病毒到用户电脑中运行，引起更多无法估计的破坏。

◆“后门终结者”该病毒为后门类，病毒运行后在系统目录下衍生avpx32.dll，avpx64.sys，avpx32.sys三个主要病毒文件，修改注册表中安全模式默认键值，使在安全模式下启动系统时蓝屏。创建服务，并以服务的方式达到随机启动的目的。设置远程线程来执行avpx32.dll,在执行时将avpx32.dll插入到EXPLORER.EXE进程和其它相关进程中；以插入病毒DLL的EXPLORER.EXE进程主动连接网络，寻找病毒体控制端，当一旦连接成功后，中毒计算机会受到远程控制，从而获取用户机器上的各种信息。该病毒利用SSDT Hook技术来实现注册表、文件、运行的DLL等的隐藏，在使用正常的文件，注册表，DLL查看器查看时看不到该病毒的信息，不能对其进行任何操作；从而清除该病毒带来了一定的困难，使该病毒的生命周期更长久。这也是后门病毒新的自我保护技术。

◆“邮件发送器”该病毒为蠕虫类，病毒运行后衍生病毒文件，病毒文件名为csrss.exe，winlogon.exe等，与系统进程名相同，用以迷惑用户。在注册表多处创建启动项，以达到随机启动的目的。该病毒在中毒电脑上收集邮件地址，以自身为附件向这些收集到的地址大量发送垃圾邮件，造成用户计算机速度减慢，网络带宽被严重占用，甚至会造成一些局域网络断网问题出现。病毒的传播速度很快，用户在收发自己的邮件时一定要注意虚假邮件信息，带有诱惑性语言的邮件一定要小心处理，以防电脑中毒。

◆Win32.Mytob.LA是一族使用多种方式传播的蠕虫。Mytob是一种结合邮件的蠕虫，与Mydoom病毒类似，并使用IRC控制后门。通过邮件传播，Mytob变体还可能通过扫描、攻击远程漏洞进行传播。病毒还可能被一个IRC后门控制，与Rbot和Agobot类似。Mytob的一些变体还会带有一个程序，用来通过MSN Messenger 或 Windows Messenger进行传播。

Mytob的这个变体是大小为108,032字节的Win32可运行程序，带有以下特征：

这个变体运行时，复制ROFL.SYS到%System%目录。

注：%System% 和 %Windows%是一个可变路径。病毒通过查询操作系统来决定这些文件夹的位置。System 目录在Windows2000/NT中默认的安装路径是C:\Winnt\System32，windows95/98/me中默认的安装路径是C:\Windows\System，windowsXP中默认的安装路径是C:\Windows\System32。Windows目录在Windows2000/NT中默认的安装路径是C:\Winnt，windows95/98/me中默认的安装路径是C:\Windows，windowsXP中默认的安装路径是C:\Windows。

二、针对以上病毒，51CTO安全频道建议广大用户：

1、最好安装专业的杀毒软件进行全面监控并及时升级病毒代码库。建议用户将一些主要监控经常打开，如邮件监控、内存监控等，目的是防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。

2、请勿随意打开邮件中的附件，尤其是来历不明的邮件。企业级用户可在通用的邮件服务器平台开启监控系统，在邮件网关处拦截病毒，确保邮件客户端的安全。

3、企业级用户应及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒。另外为保证企业信息安全，应关闭共享目录并为管理员帐户设置强口令，不要将管理员口令设置为空或过于简单的密码。

截至记者发稿时止，江民、金山、安天、冠群金辰的病毒库均已更新，并能查杀上述病毒。感谢江民科技、金山毒霸、冠群金辰和安天为51CTO安全频道提供病毒信息。

【相关文章】

• 更多病毒日报

• 更多病毒周报