22-24日病毒预报：网银窃贼在活动 机器狗又出新变种

【51CTO.com 独家报道】51CTO安全频道今日提醒您注意：在今后3天的病毒中“网银窃贼”变种ojq、“紫诺萨”变种b、“代理木马”变种zph和“机器狗”变种c都值得关注。

一、明日高危病毒简介及中毒现象描述：

◆“网银窃贼”变种ojq运行后，在被感染计算机系统的%SystemRoot%\system32\目录下释放恶意DLL功能组件文件（文件名随机生成）和配置文件“suns.dat”。强行篡改注册表中相关键值，实现启用第三方浏览器扩展组件的操作。将释放出来的恶意DLL功能组件文件注册为BHO，实现恶意DLL组件随IE浏览器启动而加载运行。“网银窃贼”变种ojq木马安装完毕后，在被感染计算机系统的后台调用DOS控制台程序，执行相应的DOS命令，达到自我删除的目的。在感染计算机的后台监控用户在IE浏览器中所执行的一切操作，窃取用户使用IE浏览器登陆所有网站时使用的帐号、密码和网站地址等信息，并将窃取到的这些信息资料定时发送到骇客指定的远程服务器站点中或邮箱里，给用户带来极大的损失。

◆“紫诺萨”变种b是“紫诺萨”木马家族的最新成员之一，采用汇编语言编写，并经过加壳保护处理。“紫诺萨”变种b运行后，在被感染计算机系统中利用浏览器打开“http://www.po*****d.ru/”恶意广告网站。在被感染计算机的后台调用系统“SVCHOST.EXE”进程，并向其进程内存空间中写入恶意可执行代码，连接骇客指定远程服务器站点，下载恶意程序并自动调用运行。修改注册表，实现“紫诺萨”变种b开机自动运行。另外，“紫诺萨”变种b会在木马当前的运行路径下创建一个批处理文件，该文件用于删除下载到被感染计算机系统中的所有恶意程序的安装包，然后再执行自我删除的操作。

◆“代理木马”变种zph是“代理木马”木马下载器家族的最新成员之一，采用高级语言编写，并经过加壳保护处理。“代理木马”变种zph运行后，在被感染计算机系统的“%SystemRoot%\system32\drivers\”目录下释放一个恶意驱动文件，利用该文件来关闭指定的安全软件程序的进程。在被感染计算机系统的“%SystemRoot%\system32\”目录下释放一个恶意DLL组件文件，利用该恶意DLL组件程序在被感染计算机的后台调用系统IE浏览器程序，然后连接骇客指定的远程服务器站点，获取其它恶意程序的下载列表地址，依次下载列表中的恶意程序并在被感染计算机上自动调用运行。另外，“代理木马”变种zph还具有躲避部分防火墙监控的功能，大大降低被感染计算机上的安全性。

◆“机器狗”变种c是“机器狗”木马家族的最新成员之一，是一个采用了磁盘过滤驱动和关机HOOK等技术编写而成的木马驱动程序。“机器狗”变种c运行后，直接挂接磁盘IO端口进行读写真实磁盘物理地址中的数据和进行监控关机行为等操作。“机器狗”家族变种会利用该恶意木马驱动程序将自身复制并保存到被感染计算机系统中真实磁盘的“\Documents and Settings\All Users\「开始」菜单\程序\启动\”目录下，达到穿透“还原保护系统”的目的。当用户关闭或重新启动计算机时，这个恶意木马驱动程序还会把“机器狗”家族变种的程序重新再次写入到真实磁盘中对应的“启动”文件夹里，实现“机器狗”家族变种每次开机都可以利用“启动”文件夹来实现开机自我启动运行。

二、针对以上病毒，51CTO安全频道建议广大用户：

1、最好安装专业的杀毒软件进行全面监控并及时升级病毒代码库。建议用户将一些主要监控经常打开，如邮件监控、内存监控等，目的是防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。

2、请勿随意打开邮件中的附件，尤其是来历不明的邮件。企业级用户可在通用的邮件服务器平台开启监控系统，在邮件网关处拦截病毒，确保邮件客户端的安全。

3、企业级用户应及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒。另外为保证企业信息安全，应关闭共享目录并为管理员帐户设置强口令，不要将管理员口令设置为空或过于简单的密码。

截至记者发稿时止，江民的病毒库均已更新，并能查杀上述病毒。感谢江民科技为51CTO安全频道提供病毒信息。

【相关文章】

• 更多病毒日报

• 更多病毒周报