25日病毒预报：谨防脚本病毒 后门木马现身

【51CTO.com 独家报道】51CTO安全频道今日提醒您注意：在明天的病毒中“QQ大盗”变种dbn、“Real蛀虫”变种t、“BHO下载器1015296”、“替身下载器49152” 、“后门大盗”、“掠夺者-av杀手”和“Win32.SillyDl.DOT”都值得关注。

一、明日高危病毒简介及中毒现象描述：

◆“QQ大盗”变种dbn是“QQ大盗”木马家族的最新成员之一，采用Delphi语言编写， 并经过加壳保护处理。“QQ大盗”变种dbn运行后，在被感染计算机的后台搜索用户系统中有关QQ注册表项和程序文件的信息，并强行删除用户计算机中的腾讯QQ医生程序文件，
从而保护自身不被查杀。修改注册表，实现木马开机自动运行。在后台盗取被感染计算机用户的QQ帐号、QQ密码、会员信息、IP地址、IP所属区域等信息，并在被感染计算机后台将窃取到的这些信息发送到骇客指定的远程服务器站点上或指定的邮箱里，给用户带来不同程度的损失。。

◆“Real蛀虫”变种t是“Real蛀虫”脚本病毒家族的最新成员之一，采用javascript脚本语言编写，并且经过加密处理，利用Real Player媒体播放器中的漏洞传播其它病毒。“Real蛀虫”变种t一般内嵌在正常网页中，如果用户计算机没有及时升级修补Real Player媒体播放器相应的漏洞补丁，那么当用户使用浏览器访问带有“Real蛀虫”变种t的恶意网页时，就会在当前用户计算机的后台连接骇客指定站点，下载大量恶意程序并在被感染计算机上自动调用运行。所下载的恶意程序可能为是网游木马、恶意广告程序、后门等，给用户带来不同程度的损失。

◆“BHO下载器1015296”BHO是微软推出的一种交互接口的业界标准，它使第三方的软件通过简单的代码就可以进入IE浏览器领域的“交互接口”，成为浏览器的一部分，以实现对浏览器进行指定的操作。这个技术本事为了扩展IE的功能，为IE用户提供便利。但是，病毒作者也学会了利用这一技术来控制他人电脑。下面发出预警的这个病毒，就是一个利用BHO传播的木马下载器。

这个病毒进入用户系统后，将病毒文件TDAtOnce_Now.dll释放到系统盘的%Document and Settings%\All Users\Application Data\Intel\Wireless\WLANProfiles\目录下，然后修改系统注册表，将自己注册为BHO插件，劫持了IE浏览器的运行。

以后只要用户启动电脑，病毒就可以随着桌面系统进程Explorer.exe运行起来，然后在用户使用IE浏览器时，悄悄建立远程连接，从http://m*s.*8.com/sg/send2.asp、http://www.j9***3.com等多个由病毒作者指定的远程地址下载木马程序。

预防BHO木马比较有效的方法，是尽可能不要浏览不良网站，也不要去非法下载网站下载资料，并且打开“清理专家”中的网页防挂马功能。

关于该病毒的详细分析报告，可在金山病毒大百科中查阅：http://vi.duba.net/virus/win32-trojdownloader-delf-1015296-50484.html

◆“替身下载器49152”病毒进入电脑后，在系统盘的%WINDOWS%\system32\wbem\Repository\FS\目录下释放出病毒文件INDEX.MAP、MAPPING.VER、MAPPING1.MAP、OBJECTS.MAP，用它们替换掉同名的系统文件，从而达到更改公共信息模型类、实例和方法的目的。一旦替换完成，它就能在用户电脑中肆意破坏了。

接着，病毒在注册表中添加了注册项，实现自动启动之目的，如果用户进行手动查杀，在检查注册表时需留意病毒的启动项名为“EXE”，对应路径为“%Program Files%\Common Files\System\GU.exe”。

当完成以上步骤，顺利运行起来，木马会自动连接木马种植者指定的多个站点，下载其它木马到用户电脑上运行。虽然目前木马种植者已经关闭了这些链接，但不排除恢复链接或在升级后的病毒中安排新链接地址的可能。

关于该病毒的详细分析报告，可在金山病毒大百科中查阅：http://vi.duba.net/virus/win32-trojdownloader-guupk-ps-50485.html

◆“后门大盗”病毒运行后释放文件到系统安装目录，修改注册表，添加服务，达到随系统启动的目的。完全运行后删除自身文件。在后台运行iexplore.exe进程，开放本地端口主动和目标地址进行连接。中毒用户可能会别远程控制，重要信息丢失。该病毒通过后台运行iexplore.exe进程向指定站点连接下载远程控制需要的辅助文件和其他病毒文件，如盗号木马等。该病毒主要是通过网络挂马进程传播，针对的用户群体为网络游戏玩家、网银用户等。

◆“掠夺者-av杀手”病毒运行后衍生文件到系统目录下，修改注册表，添加自启动项，完全运行后删除自身。创建进程，将dll文件插入到系统进程中，遍历进程查找网络游戏“剑侠情缘”的so2game.exe将其关闭，游戏重启后病毒判断所在进程是否为网络游戏登陆窗口，以此获取游戏账号和密码以及其它一些私人信息，该病毒试图屏蔽多种反病毒软件有瑞星、金山、McAfee、诺顿、江民。病毒已经不再是一味的躲避各种反病毒软件的查杀，已经采取主动追杀反病毒软件。该类病毒可以通过多种传播途径进行传播，通过网络、硬盘、光盘等一些移动存储介质进行传播。

◆Win32.SillyDl.DOT是一种下载的特洛伊病毒。Win32/SillyDl变体可能是用户访问恶意网页时，通过Internet Explorer浏览器安装的，其它的特洛伊下载器或程序，或者是用户选择安装的软件包。Win32/SillyDl变体可能下载其它的特洛伊病毒，或者没有病毒的程序例如广告软件。同时，它会尝试下载更新。这种病毒通常利用HTTP下载。

建议：
不要随意运行EXE文件；
系统设置强壮的管理员口令。

二、针对以上病毒，51CTO安全频道建议广大用户：

1、最好安装专业的杀毒软件进行全面监控并及时升级病毒代码库。建议用户将一些主要监控经常打开，如邮件监控、内存监控等，目的是防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。

2、请勿随意打开邮件中的附件，尤其是来历不明的邮件。企业级用户可在通用的邮件服务器平台开启监控系统，在邮件网关处拦截病毒，确保邮件客户端的安全。

3、企业级用户应及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒。另外为保证企业信息安全，应关闭共享目录并为管理员帐户设置强口令，不要将管理员口令设置为空或过于简单的密码。

截至记者发稿时止，江民、金山、安天、冠群金辰的病毒库均已更新，并能查杀上述病毒。感谢江民科技、金山毒霸、冠群金辰和安天为51CTO安全频道提供病毒信息。

【相关文章】

• 更多病毒日报

• 更多病毒周报