14日病毒预报：盗号木马疯狂窃取 小心IRC肉鸡

【51CTO.com 独家报道】51CTO安全频道今日提醒您注意：在明天的病毒中“IRC肉鸡311296”、“大口袋盗号者86016”和“Win32.SillyDl.DOS”都值得关注。

一、明日高危病毒简介及中毒现象描述：

◆“IRC肉鸡311296” 即时聊天工具因其独有的便捷性，使人们的交流变得越来越容易，从而扩大了信息传播的覆盖面。但也正是这一点，一些恶意程序纷纷将即时聊天工具作为作案工具。相信用户们对QQ尾巴、MSN圣诞虫等木马肯定不会陌生，它们就是利用即时聊天工具进行传播的。而此次我们要提醒广大用户注意的，是一个IRC木马。

IRC是英文Internet Relay Chat的缩写，它是一个1988年起源于芬兰的即时聊天方式，目前广泛应用于全世界 60多个国家。与会自动传播QQ尾巴那种，这个IRC木马是一个后门程序，它被人为地隐藏在某些正常文件中，然后发给用户。当进入用户电脑后，它会将病毒文件klog.txt和SERVICE.EXE释放到系统盘的%WINDOWS%\system32\目录下，并修改注册表启动项实现自动启动。

随后，该木马主动连接木马作者指定的IRC聊天服务器，使木马作者能以“聊天”的方式不断地向中毒电脑发送命令。经毒霸反病毒工作人员分析，其中对用户危害较大的主要命令有记录用户的键盘动作、抓取用户的屏幕、下载文件、向远端计算机发起DOS攻击、自我更新、关闭指定的进程、开启用户机器上的默认共享、将获取的用户信息发送给指定邮箱等。

虽然此木马具有如此大的威胁，但对它的防范，说到底，也没有什么特别需要注意的地方，依然是“养成良好的上网习惯”，比如不要随便接收别人发给的文件和过于贪图IRC上的免费资源。毕竟相当一部分时候，不法分子是利用你的好奇心和占便宜心理来作案的。

◆“大口袋盗号者86016” 盗号木马的唯一任务就是盗取木马种植者想要的数据和资料。此次毒霸捕获的这个盗号木马，它的作案目标范围比较大，并不仅局限于网络游戏帐号。它在进入用户电脑后，会将病毒文件krnj32drv.dll释放到系统盘的%WINDOWS%\system32\下，建立全局监视程序，不断注入所有进程中，寻找帐号、密码、邮件地址等敏感信息的输入对话框。

如果找到目标，病毒就展开键盘记录，记下对话框的主题以及用户通过键盘输入这些对话框的全部信息。成功得手后，病毒在用户无法察觉的情况下建立远程连接，从后台将赃物发送到木马种植者指定的网站。

经过毒霸工作人员分析，虽然此病毒的作案目标较大，但除盗窃敏感信息外，对系统没有别的危害，并且毒霸可以查杀它，因此用户们不必过于担心。不过，仍需再次提醒大家，良好的上网习惯始终是最有效的反病毒措施，只要不上不良网站、不进行非法下载、同时及时给系统打补丁和升级安全软件，我们系统的危险就会大大降低。

◆Win32.SillyDl.DOS是一种下载的特洛伊病毒。Win32/SillyDl变体可能是用户访问恶意网页时，通过Internet Explorer浏览器安装的，其它的特洛伊下载器或程序，或者是用户选择安装的软件包。

Win32/SillyDl变体可能下载其它的特洛伊病毒，或者没有病毒的程序例如广告软件。同时，它会尝试下载更新。这种病毒通常利用HTTP下载。

建议：

不要随意运行EXE文件；

系统设置强壮的管理员口令。

二、针对以上病毒，51CTO安全频道建议广大用户：

1、最好安装专业的杀毒软件进行全面监控并及时升级病毒代码库。建议用户将一些主要监控经常打开，如邮件监控、内存监控等，目的是防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。

2、请勿随意打开邮件中的附件，尤其是来历不明的邮件。企业级用户可在通用的邮件服务器平台开启监控系统，在邮件网关处拦截病毒，确保邮件客户端的安全。

3、企业级用户应及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒。另外为保证企业信息安全，应关闭共享目录并为管理员帐户设置强口令，不要将管理员口令设置为空或过于简单的密码。

截至记者发稿时止，金山、冠群金辰的病毒库均已更新，并能查杀上述病毒。感谢金山毒霸、冠群金辰为51CTO安全频道提供病毒信息。

【相关文章】

• 更多病毒日报

• 更多病毒周报