21日病毒预报：千足虫家族新变种 放毒器气势汹汹

【51CTO.com 独家报道】51CTO安全频道今日提醒您注意：在明天的病毒中“千足虫”变种cb、“放毒器”变种b、“网游盗号木马152312”和““劫持者下载器139378””都值得关注。

一、明日高危病毒简介及中毒现象描述：

◆“千足虫”变种cb是“千足虫”家族的最新成员之一，采用VC++ 6.0编写， 并经过加壳保护处理。“千足虫”变种cb运行后，自我复制到系统盘根目录下，文件名随机生成。利用驱动程序来恢复SSDT Hook，使某些安全软件的监控失效。强行关闭大部分杀毒软件和安全工具软件。被感染计算机系统会经常死机或长时间卡住不动。利用“ARP病毒”在局域网中进行自我传播。感染除系统盘外所有盘符下的EXE可执行文件、网页文件、RAR和ZIP压缩包中的文件等(加密感染)，感染后的程序变为16位的图标，图标变模糊，类似于马赛克。一旦发现与安全相关的窗口存在，强行将其关闭。在所有盘符下生成“autorun.inf”和病毒体，并且对这些文件进行实时检测保护，利用移动设备进行传播。破坏注册表，致使用户无法进入“安全模式”、无法查看隐藏的系统文件，致使注册表启动项失效。修改注册表，实现开启自动播放的功能。强行删除所有安全软件的关联注册表项，使其无法开启监控。利用进程守护技术，将病毒的“lsass.exe”、“smss.exe”进程主体和DLL组件进行关联，实现进程守护，一旦病毒文件被删除或被关闭，便马上生成并重新运行。以系统级权限运行，部分进程使用了进程保护技术。利用控制台命令来设置病毒程序文件的访问运行权限。利用了关机回写技术，在关闭计算机时把病毒主程序体保存到[启动]文件夹中，实现开机自启动。另外，“千足虫”变种cb还可以自升级。

◆“放毒器”变种b是“放毒器”木马下载器家族的最新成员之一，采用Delphi语言编写，并经过加壳处理。“放毒器”变种b运行后，在被感染计算机的后台调用系统IE浏览器“iexplore.exe”进程，并把恶意可执行代码注入到其中，通过系统IE浏览器“iexplore.exe”进程连接骇客指定远程服务器站点“http://x**m.***p.*c/”，下载恶意程序并自动调用运行。其中，所下载的恶意程序可能是网游木马、广告程序（流氓软件）、后门等，给用户带来不同程度的损失。修改注册表，实现木马下载器开机自动运行。另外，“放毒器”变种b还具有躲避部分防火墙监控的功能，大大降低了被感染计算机上的安全性。

◆“网游盗号木马152312”一个贼好不容易进到别人家里，他要是只偷一样东西，肯定觉得亏。盗号木马也一样，在毒霸病毒分析师近来处理的盗号木马中，只针对某一游戏的木马，所占比例明显减小，取而代之的是可盗取多款游戏帐号的木马。

比如昨日分析的这个盗号木马，它可同时盗取《跑跑卡丁车》、《剑侠世界2》、《劲舞团》、《完美世界》等多款网游的帐号。该病毒进入用户的电脑后，在系统盘%Program Files%\Common Files\Microsoft Shared\MSInfo\目录下释放出SysInfo1.dll、SysInfo1.dll2、wyls.exe这三个病毒文件，并修改注册表数据，将它们写入启动项，实现开机自启动。

病毒运行后的行为并不复杂，它通过启动之前生成的病毒主文件 wyls.exe ，将 SysInfo1.dll 注入到系统桌面进程 Explorer.exe 当中，搜寻网络游戏《跑跑卡丁车》、《剑侠世界2》、《劲舞团》、《完美世界》的进程，然后建立消息监视，从用户与游戏服务器的通信消息中筛选出用户的账号和密码等信息，并在后台悄悄建立远程连接，把赃物以网页提交的方式发送到木马种植者手中，给用户造成虚拟财产的损失。

应该说现在大部分的安全软件，哪怕只是个简单的安全辅助软件，都具备处理盗号木马的能力，但毕竟木马变种层出不穷，躲避和对抗安全软件的能力也不断加强，因此大家仍需提高警惕，比如不要下载未经官方认证的外挂插件、不要轻信要求你提供帐号密码的网游抽奖活动等。

关于该病毒的详细分析报告，可在金山病毒大百科中查阅：http://vi.duba.net/virus/win32-pswtroj-onlinegames-lo-152312-50476.html

◆“劫持者下载器139378”可对抗安全软件和用户的病毒始终没逃脱毒霸病毒分析师的视线。在昨日分析的病毒中，毒霸再次发现了这类病毒的身影。

该病毒实际上是一个木马下载器。它通过修改系统注册表，实现随系统启动而启动，以便一劳永逸地运行下去。为防止用户发现自己电脑中出现多余的文件，它会顺便改篡改注册表中的相关数值，将隐藏文件的显示模式改为不可见，再把自己的病毒文件设置隐藏模式。同时，它还会破坏 Windows 系统的更新服务，防止系统升级后具备对付它的能力。

遇到系统异常，你也许会想到运行计算机上的“帮助与支持中心服务”功能吧，很遗憾，它已经被病毒破坏了。而如果你试图手动查杀病毒，会发现系统的网络地址转换、寻址、名称解析、和入侵保护服务，以及监视系统安全设置和配置服务已经被病毒设为禁用，甚至连安全模式也被破坏——病毒不会给你任何查杀它的机会。

也许一些用户会问：我安装的安全软件是干什么吃的！？原来，病毒在进入电脑的瞬间，就已经利用“ IFEO 重定向劫持技术”抢先下手，劫持了你的安全软件。被劫持的安全软件不但无法正常工作，而且当你运行它们时，只会再次激活病毒。由于病毒的黑名单非常庞大，几乎所有目前市场上已有的的杀毒软件和安全辅助软件都会“中招”。

完成以上步骤后，病毒便连接木马种植者指定的多个远程地址，下载木马程序到用户电脑上运行。这些木马程序主要是盗取用户电脑中的敏感信息，这里面包括你在任何密码输入窗口中输入的数据，以及看上去像是帐号的字符。

同时，病毒搜索包括U盘等移动存储设备在内的所有磁盘分区，在它们的根目录下释放出AUTO病毒文件“autorun.inf ”和对应可执行病毒文件“.exe”。只要你双击含毒磁盘，病毒就能再次运行起来，重新搜索所有磁盘分区进行感染，从而不断扩大自己的传播范围。

关于该病毒的详细分析报告，可在金山病毒大百科中查阅：http://vi.duba.net/virus/win32-trojdownloader-agent-bl-139378-50477.html

二、针对以上病毒，51CTO安全频道建议广大用户：

1、最好安装专业的杀毒软件进行全面监控并及时升级病毒代码库。建议用户将一些主要监控经常打开，如邮件监控、内存监控等，目的是防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。

2、请勿随意打开邮件中的附件，尤其是来历不明的邮件。企业级用户可在通用的邮件服务器平台开启监控系统，在邮件网关处拦截病毒，确保邮件客户端的安全。

3、企业级用户应及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒。另外为保证企业信息安全，应关闭共享目录并为管理员帐户设置强口令，不要将管理员口令设置为空或过于简单的密码。

截至记者发稿时止，江民、金山的病毒库均已更新，并能查杀上述病毒。感谢江民科技、金山毒霸为51CTO安全频道提供病毒信息。

【相关文章】

• 更多病毒日报

• 更多病毒周报