15-17日病毒预报：盗号类木马添新丁 脚本病毒显身手

【51CTO.com 独家报道】51CTO安全频道今日提醒您注意：在今后三天的病毒中网游大盗”变种agow、“露萨”变种ae、“Real蛀虫”变种s、“魔兽”变种asn 、“代理木马”变种atun、“网游窃贼”变种sxe、“蓝屏木马下载器36864”、“网游盗号木马94315”、“魔兽窃贼”和“av入侵者”都值得关注。

一、明日高危病毒简介及中毒现象描述：

◆网游大盗”变种agow是“网游大盗”木马家族的最新成员之一，采用Delphi语言编写。“网游大盗”变种agow运行后，自我插入到被感染计算机系统的“explorer.exe”进程，隐藏自我，防止被查杀。修改注册表，实现木马开机自动运行。在被感染计算机系统的后台利用HOOK和内存截取等技术专门盗取网络游戏《问道》玩家的游戏帐号、游戏密码、仓库密码、角色等级、金钱数量、所在区服、计算机名称等信息，并在后台将玩家信息发送到骇客指定的远程服务器上，致使《问道》游戏玩家的游戏帐号、装备物品、金钱等丢失，给游戏玩家带来非常大的损失。

◆“露萨”变种ae是“露萨”木马家族的最新成员之一，采用Delphi语言编写，并经过加壳保护处理。“露萨”变种ae运行后，自我复制到被感染计算机系统盘的指定目录下，并将文件属性设置为隐藏、存档。在被感染计算机系统的后台复制系统DLL组件程序文件到指定目录下并调用运行，提供“露萨”变种ae主程序自己调用，防止被某些安全软件监控。在所有盘符根目录下创建“autorun.inf”文件和木马主程序文件“test.exe”，实现双击盘符启动“露萨”变种ae运行的目的。强行篡改被感染计算机系统中的注册表相关键值，致使“文件夹选项”中的[显示隐藏文件和隐藏文件夹]按钮功能失效。在被感染计算机系统的后台连接骇客指定远程服务器站点，下载多个恶意程序并自动调用运行。强行篡改注册表相关键值，实现进程映像劫持的功能，一旦发现用户调用某些安全程序便通过进程映像劫持的功能直接调用“露萨”变种ae主程序来运行。另外，“露萨”变种ae还利用U盘等移动存储设备进行传播。

◆“Real蛀虫”变种s是“Real蛀虫”脚本病毒家族的最新成员之一，采用javascript脚本语言编写，并且经过加密处理，利用Real Player媒体播放器中的漏洞传播其它病毒。“Real蛀虫”变种s一般内嵌在正常网页中，如果用户计算机没有及时升级修补Real Player媒体播放器相应的漏洞补丁，那么当用户使用浏览器访问带有“Real蛀虫”变种s的恶意网页时，就会在当前用户计算机的后台连接骇客指定站点，下载大量恶意程序并在被感染计算机上自动调用运行。所下载的恶意程序可能为是网游木马、恶意广告程序、后门等，给用户带来不同程度的损失。

◆“魔兽”变种asn是“魔兽”木马家族的最新成员之一，采用VC++ 6.0编写，并经过加壳保护处理。“魔兽”变种asn运行后，自我插入到被感染计算机的系统的“explorer.exe”进程中加载运行，隐藏自我，防止被查杀。修改注册表，实现木马开机自动运行。在被感染计算机系统的后台利用HOOK技术和内存截取等技术专门盗取网络游戏《征途》玩家的游戏帐号、游戏密码、仓库密码、角色等级等信息，并在后台将玩家信息发送到骇客指定的远程服务器上，致使《征途》游戏玩家的游戏帐号、装备物品、金钱等丢失，给游戏玩家带来非常大的损失。

◆“代理木马”变种atun是“代理木马”木马家族的最新成员之一，采用Delphi语言编写，并经过加壳保护处理。“代理木马”变种atun运行后，在被感染计算机系统的临时文件夹下释放一个恶意驱动程序，文件名随机生成。利用该恶意驱动程序将自身保存到真实的物理磁盘中，达到穿透“系统还原保护程序”的目的。该恶意驱动程序利用磁盘过滤驱动技术和关机HOOK技术等，直接挂接磁盘IO端口进行读写真实磁盘物理地址中的数据和进行监控关机行为等操作。当用户关闭或重新启动被感染计算机时，该恶意驱动程序会把“代理木马”变种atun重新再次写入到真实磁盘中对应的“启动”文件夹里，实现“代理木马”变种atun每次开机都可以利用“启动”文件夹来实现开机自我运行的目的。在被感染计算机系统的后台连接骇客指定站点，下载其它恶意程序并自动调用运行。其中，所下载的恶意程序可能是木马下载器、后门或网络游戏盗号木马等，给用户带来不同程度的损失。

◆“网游窃贼”变种sxe是“网游窃贼”木马家族的最新成员之一，采用VC++ 6.0编写，并经过加壳保护处理。“网游窃贼”变种sxe运行后，在被感染计算机系统后台利用HOOK技术和内存截取等技术专门盗取网络游戏《热血江湖》玩家的游戏帐号、游戏密码、仓库密码、金钱数量、所在区服、角色等级等信息，并在后台将玩家信息发送到骇客指定的远程服务器上，致使《热血江湖》游戏玩家的游戏帐号、装备物品、金钱等丢失，给游戏玩家带来非常大的损失。修改注册表，实现木马开机自动运行。另外，“网游窃贼”变种sxe还会在被感染计算机系统的后台盗取《热血江湖》游戏玩家的密码保护资料。

◆“蓝屏木马下载器36864”根据昨日毒霸检测到的病毒发作趋势数据，我们今天首先需要留意的仍是木马下载器。此次抽取出的这个下载器与我们之前多次预警过的大多数木马下载器一样，也具有对抗安全软件的能力——不用说，这已经是木马下载器目前的一个发展趋势了。

在进入用户电脑后，它把自己的病毒文件winlugan.exe释放到系统盘的%WINDOWS%\system32\目录下，并将其写入注册表启动项，让自己能够在每次电脑开机时都跟着跑起来。

如果能顺利运行，病毒就对%WINDOWS%\system32\wbem\Repository\FS\目录下的INDEX.BTR、MAPPING.VER、MAPPING1.MAP、OBJECTS.DATA   、OBJECTS.MAP等文件进行数据删改，使得自己掌握对系统命令的控制权。同时，它抢先查找并关闭金山毒霸、麦咖啡、东方微点、卡巴斯基等杀毒软件，以及安全辅助软件360安全卫士的进程，让自己的行动更加自由。

完成以上动作后，病毒就在后台建立远程连接，从http://5y*rscon**a*t.com这个由木马种植者指定的地址下载包括盗号木马在内的大量恶意程序到用户电脑上运行，给用户造成无法预计的损失。由于下载数量大、并且盗号木马进入系统后一窝蜂地注入系统进程，将导致电脑系统被严重占用，几分钟后蓝屏死机。

◆“网游盗号木马94315”由于虚拟财产与真实财产的可互换性，网游帐号一直是木马制作者眼中的最佳猎物，写个盗号木马放出去，那些拥有顶级装备的网游帐号就会自动送上门来，然后只需把装备和帐号卖掉，就可以数钱了。正是抱着这种思想，无良程序员们开足了马力，疯狂地制作着各种盗号木马。

毒霸反病毒分析员昨日检测到的一个传播趋势较高盗号木马，它的目标是《大话西游3》、《破天一剑》、《惊天动地》等三款网游。进入系统后，它释放出两个病毒文件，分别是%WINDOWS%目录下的DbgHlp32.exe和%WINDOWS%\system32\目录下的DbgHlp32.dll，并修改注册表实现自启动。接着，此病毒会查找并关闭卡巴斯基和瑞星的注册表监视窗口，切断杀毒软件与用户之间的联系——这是当然，既然要偷你的东西，肯定就不能让你察觉。

病毒注入系统桌面进程explorer.exe 的空间，建立全局监视，查找《大话西游3》、《破天一剑》、《惊天动地》的进程，然后利用内存读取的方式盗取它们的帐号信息并发送到木马种植者指定的多个远程地址。给用户造成虚拟财产的损失。

要避免受到盗号木马的侵害，除每天升级毒霸外，最有效的方法是遵守网游规则，不要随便下载未经官方认可的外挂插件，这样可以避免盗号木马混进电脑。此外，对于那些不良网站，最好也避而远之，因为很多时候这类网站会挂有大量盗号木马及其它恶意程序。

◆“魔兽窃贼”病毒运行后衍生病毒文件到%Program Files%\Common Files\下，重命名为fjOs0r.dll；并衍生病毒文件到%Program Files%\Internet Explorer\下，分别重命名为：OnlO0r.bak与OnlO0r.dll，该病毒文件运行后把fjOs0r.dll和OnlO0r.dll注入到Explorer进程中以及由Explorer启动的进程中，添加注册表项，达到开机自动加载的目的，由Explorer.exe连接网络下载病毒文件。其针对网游“魔兽世界”。由于正值大量学生开学，而网游的最大支持者正是学生。使得这一病毒有机可乘。

◆“av入侵者”病毒运行后，复制自身到%System32%目录下，更名为sechost.exe，并在该目录下衍生cifmon.exe、discard.ini等多了文件；修改注册表，使sechost.exe伴随userinit.exe启动以及将病毒文件加入到CMD.EXE的调用扩展中；将“%System32%\smss.exe”添加到卡巴斯基反病毒软件的信任区域；为卡巴斯基添加规则为"%System32%\sechost.exe"开放最大权限；调用ychost.exe，绕过金山反病毒软件的主动防御；病毒运行完毕后删除自身。该病毒会连接网络向外发送本地机器的相关信息、下载病毒的最新版本到IE临时目录并执行，从而盗取用户信息或控制用户的计算机。

二、针对以上病毒，51CTO安全频道建议广大用户：

1、最好安装专业的杀毒软件进行全面监控并及时升级病毒代码库。建议用户将一些主要监控经常打开，如邮件监控、内存监控等，目的是防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。

2、请勿随意打开邮件中的附件，尤其是来历不明的邮件。企业级用户可在通用的邮件服务器平台开启监控系统，在邮件网关处拦截病毒，确保邮件客户端的安全。

3、企业级用户应及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒。另外为保证企业信息安全，应关闭共享目录并为管理员帐户设置强口令，不要将管理员口令设置为空或过于简单的密码。

截至记者发稿时止，江民、金山、安天的病毒库均已更新，并能查杀上述病毒。感谢江民科技、金山毒霸和安天为51CTO安全频道提供病毒信息。

【相关文章】

• 更多病毒日报

• 更多病毒周报