12日病毒预报：盗号木马恶性不断 赛门斯再出变种

【51CTO.com 独家报道】51CTO安全频道今日提醒您注意：在明天的病毒中“网游窃贼”变种tyy、“赛门斯”变种x、“网银隐身劫匪”、“病毒下载器135168” 、“华岗”、“博客虫”和“VBS/MS06-014!exploit”都值得关注。

一、明日高危病毒简介及中毒现象描述：

◆“网游窃贼”变种tyy是“网游窃贼”木马家族的最新成员之一，采用内核级HOOK技术编写。“网游窃贼”变种tyy运行后，在被感染计算机系统的后台利用内核级HOOK技术来监控用户的操作，专门盗取《刀剑OnLine》、《QQ华夏》、《QQ自由幻想》、《QQ幻想》、《剑侠情缘II》、《奇迹》、《完美国际》、《完美》、《问道》、《征途》、《梦幻》、《大话》、《风云》、《魔兽》等众多网络游戏玩家的游戏帐号、游戏密码、仓库密码、角色等级、金钱数量、所在区服、计算机名称等信息，并在后台将玩家信息发送到骇客指定的远程服务器上，致使网络游戏玩家的游戏帐号、装备物品、金钱等丢失，给游戏玩家带来非常大的损失。修改注册表，实现木马开机自动运行。

◆“赛门斯”变种x是“赛门斯”广告程序家族的最新成员之一，采用VC++ 6.0编写。“赛门斯”变种x运行后，在被感染计算机的后台获取系统网卡的MAC地址，收集被感染计算机系统的配置信息，在后台连接骇客指定站点，进行访问量的统计和其它恶意程序下载等操作。读取注册表相关键值，检查自身组件是否被禁用，如果被禁用则重新启动病毒文件的运行。自我注册为BHO，实现“赛门斯”变种x随系统浏览器的启动而加载运行。另外，“赛门斯”变种x可能会在被感染计算机系统中定时弹出恶意网页广告网页窗口等，干扰用户的正常操作。

◆“网银隐身劫匪” 病毒编写者在制作大量针对网游的盗号木马的同时，也从来没忘记过把目标瞄准银行里的真实财产，只要有网上支付发生，病毒作者就不会放过从中搞鬼的机会，毒霸病毒分析专家昨日捕获到的网银木马，再次提醒我们，盗号木马绝对不止窃取网游帐号那么简单。

这个针对工商银行网银的盗号木马在运行后，会感染用户系统中IE浏览器的主程序iexplore.exe，利用IE来截获用户的网银信息。由于病毒体型小，以及病毒作者采取比较“节约空间”的感染方式，受到感染后的iexplore.exe程序大小不会变生改变。但当用户使用IE浏览器登陆工商银行网银系统进行网上交易时，病毒就会将截取众多信息。包括用户的支付卡号、接收卡号、密码、收款人姓名、收款人所在地、交易流水号、收款网点机构名、收款人所在网点机构、总金额等全部的敏感信息都会被该木马记录下来。

 获取到帐号信息后，木马就悄悄连接病毒作者指定的一个远程服务器，让病毒作者（木马种植者）掌握用户的银行帐号、密码，甚至个人隐私，给用户造成无法估计的重大损失。而且由于采取网络转账，赃款可能会较难追回，因此需要使用网银的用户，一定要养成良好的网银使用习惯，比如及时安装银行提供的官方安全插件、只从银行官网登录网银，以及经常使用杀毒软件扫描系统等。

另外，此木马有着较强的“破坏现场”能力。一旦盗号成功，木马就会读取windows的备份文件夹，将iexplore.exe恢复成正常，使得用户无法找到它的犯罪证据。

◆“病毒下载器135168” 此病毒运行后，会在系统中生成一个标记。这样，如果以后有它的病毒副本再此进入用户电脑，就能发现这台电脑已经是它的地盘，从而防止重复运行造成浪费时间和不必要的出错。接着，然后查找并关闭杀毒软件卡巴斯基的实时监控窗口AVP.Tray，让自己接下来的破坏活动能顺利进行。

病毒创建线程，感染用户磁盘中的.EXE和.SCR文件，感染后的文件会多出一个名为“.KAO”的节，这时感染的文件日期即为被感染时间病毒查找并注入IE窗口。同时，它在后台连接病毒作者指定的地址hxxp://xx.a**k*v.com，悄悄下载更多其它病毒到用户电脑中运行，引发更多无法预计的破坏。

顺便提及，病毒在搜索磁盘中的EXE文件进行感染时，会避开WINDOWS、Internet Explorer、Outlook Express、Windows Media Player、WinRAR等少数几个目录下的文件。

◆“华岗”该病毒为一款后门程序，运行后衍生病毒文件到系统目录下，并添加注册表随机运行项以达到随系统启动病毒体的目的。连接病毒指定地址，读取文件生成Autorun.inf文件以传播自身。病毒开启本机后门，等待远程连接，受感染用户可被远程控制。

◆“博客虫”该病毒为一款木马程序，病毒运行后会自动连接网络下载病毒程序到本机运行。并添加注册表自动运行项以跟随系统引导病毒体。病毒会桌面生成一个指向http://www.3q5.com/的链接。并修改IE的BHO项，当用户上网时，病毒即在后台自动连接指定地址。

◆VBS/MS06-014!exploit属于网页脚本或者email message类的脚本病毒。它主要利用 "Microsoft Windows MDAC RDS.Dataspace ActiveX control" 漏洞进行激活/传播。这类病毒一般存在于恶意网页或者邮件的html代码中。当用户使用有漏洞的IE浏览恶意网页或者用outlook express接收有毒邮件会将病毒直接激活。

建议：

不要随意运行EXE文件；

及时安装相应的系统补丁。

二、针对以上病毒，51CTO安全频道建议广大用户：

1、最好安装专业的杀毒软件进行全面监控并及时升级病毒代码库。建议用户将一些主要监控经常打开，如邮件监控、内存监控等，目的是防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。

2、请勿随意打开邮件中的附件，尤其是来历不明的邮件。企业级用户可在通用的邮件服务器平台开启监控系统，在邮件网关处拦截病毒，确保邮件客户端的安全。

3、企业级用户应及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒。另外为保证企业信息安全，应关闭共享目录并为管理员帐户设置强口令，不要将管理员口令设置为空或过于简单的密码。

截至记者发稿时止，江民、金山、安天、冠群金辰的病毒库均已更新，并能查杀上述病毒。感谢江民科技、金山毒霸、冠群金辰和安天为51CTO安全频道提供病毒信息。

【相关文章】

• 更多病毒日报

• 更多病毒周报