2日病毒预报：盗号类病毒出新品种 谨防“疯狂下载者”

【51CTO.com 独家报道】51CTO安全频道今日提醒您注意：在明天的病毒中“PPT蛀虫”变种a、“AV杀手”变种ff、“雁过留声盗号器118784”、“天龙笨贼94304” 、“recsl机器人”、“疯狂下载者”和“Win32.BettInet.CT”都值得关注。

一、明日高危病毒简介及中毒现象描述：

◆“PPT蛀虫”变种a是“PPT蛀虫”脚本病毒家族的最新成员之一，采用汇编语言编写，并且代码经过加密处理，利用Microsoft PowerPoint中的漏洞传播其它病毒。“PPT蛀虫”变种a一般都是以一小段ShellCode汇编加密代码的形式内嵌在正常Microsoft PowerPoint文档中。如果用户计算机没有及时升级修补Microsoft PowerPoint中相应的漏洞补丁，那么当用户运行带有“PPT蛀虫”变种a的“OFFICE PPT文档”（Microsoft PowerPoint）时，就会在当前用户计算机系统的后台连接骇客指定的远程服务器站点，下载其它恶意程序并自动调用运行。其中，所下载的恶意程序可能是网游木马、广告程序（流氓软件）、后门等，给被感染计算机用户带来一定的损失。

◆“AV杀手”变种ff是“AV杀手”木马家族的最新成员之一，采用高级语言编写，并经过加壳处理。“AV杀手”变种ff运行后，在“%SystemRoot%\”目录下释放文件“uu.exe”，并在“%SystemRoot%\system\”目录下释放文件“sms.exe”。自我复制到被感染计算机系统的“启动”文件夹中，文件名伪装成QQ在线升级程序名，实现开机自启动。在被感染计算机系统的后台连接骇客指定站点，下载其它恶意程序并在被感染计算机上自动运行。在被感染计算机系统的后台终止某些安全软件的服务，致使其防护和杀毒功能失效。强行篡改注册表相关键值，导致某些安全软件无法启动运行，大大降低被感染计算机上的安全性。

◆“雁过留声盗号器118784”为了盗号，病毒作者的总是想出各种各样的方法。由于杀毒软件对游戏和聊天工具等软件的进程实行严厉监视，木马已经越来越难以通过注入进程的方式盗号，于是一些病毒作者开始在截获用户对外通讯信息方面打主意。昨日毒霸反病毒工程师就捕获到这样一个病毒。

该病毒通过网页挂马和捆绑文件等方式混进用户电脑，将病毒文件MSetole.dll和serve.exe隐藏在系统盘的%WINDOWS%\system32\目录下，然后修改系统注册表，把它们的相关数据写入启动项，实现开机自启动。如果检查注册表，可发现这两个启动项名称分别为ImagePath和ActiveService，不注意的话，很容易被忽视。

接下来，就该盗号了。木马冒充 Internet Explorer_Server，创建IE服务器，在用户与真正的服务器之间建立监视。当发现用户通过IE发出帐号和密码时，就被它截取了一次，从而实现盗号。盗窃成功后，赃物会以网页报表的形式发送到病毒作者指定的远程地址。由于普通用户在上网时需要用到的大部分帐号和密码都是通过IE发送，此病毒也就成了一个“通吃”型盗号木马，需要警惕。

关于该病毒的详细分析报告，可在金山病毒大百科中查阅：http://vi.duba.net/virus/win32-pswtroj-onlinegames-118784-50503.html

◆“天龙笨贼94304”这是一个具备对抗安全软件功能的盗号木马，不过只能对付少数安全辅助软件，对毒霸等杀毒软件无效。

病毒进入电脑后，将病毒文件gnolnait.cfg和gnolnait.dll释放到系统盘的%WINDOWS%\system32\目录下，并在%WINDOWS%\system32\drivers\目录下释放出一个mselk.sys文件。接着，它会试图查找并关闭360安全卫士、QQ医生等安全辅助软件，不过由于病毒作者的粗心，输错了进程，这一次360得以幸免于难。

同时，病毒修改系统注册表启动项，使自己实现开机自启动，并与运行后查找并结束系统上的Game.exe 进程。虽然病毒只会盗取《天龙八部》游戏的帐号信息，可是由于许多游戏都含有以Game.exe命名的文件，因此，还是会有不少游戏被关闭的。当用户重新进入游戏时，病毒就通过监视用户在帐号和密码框中的输入，窃取到帐号信息。

此外，该病毒还有“黑吃黑”的举动，它为保证自己的运行正常，会在 %WINDOWS%\system32\目录下搜索是否存在一个名为mseion.sys 文件，如果找到就将它删除。经毒霸反病毒工程师的分析，这是另一个网页木马文件，与该病毒会有一定的冲突。

关于该病毒的详细分析报告，可在金山病毒大百科中查阅：http://vi.duba.net/virus/win32-troj-gameshackt-gu-94304-50504.html

◆“recsl机器人”该病毒用Microsoft Visual C++ 6.0编写，加 PECompact变形壳试图躲避防病毒软件的查杀。病毒运行后，衍生病毒文件到系统%System32%目录下。添加注册表自动运行项与系统服务项以实现随机引导病毒体。创建大量线程用于扫描用户所在网络，若发现存在默认共享或弱口令则传播自身。此病毒为一个利用 Windows 平台下 IRC 协议的网络蠕虫，受感染用户可能会被操纵进行 Ddos 攻击、远程控制、发送垃圾邮件、创建本地 Tftp 、 FTP 等行为。

◆“疯狂下载者”该病毒属木马，病毒伪装微软版本信息，用以迷惑用户。病毒运行后衍生病毒文件到系统目录%system32%下，d26bf5b8.dll、d26bf5b8.exe 、d26bf5b8t.exe。 连接网络下载病毒文件，修改注册表，创建服务，并以服务的方式达到随机启动的目的，删除系统正常服务。尝试结束卡巴斯基进程。

◆Win32.BettInet.CT是一种能够下载并安装其它程序的特洛伊病毒，它还将被感染机器的相关信息发送到远程服务器。

BettInet特洛伊经常被Win32/SillyDl trojan family变体下载。BettInet依次下载SillyDl特洛伊，生成一个下载循环，目的是要安装BettInet，直到它收到安装其它东西（可能是显示弹出广告）的指令。

建议：

不要随意运行exe文件；

设置强壮的管理员帐号。

二、针对以上病毒，51CTO安全频道建议广大用户：

1、最好安装专业的杀毒软件进行全面监控并及时升级病毒代码库。建议用户将一些主要监控经常打开，如邮件监控、内存监控等，目的是防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。

2、请勿随意打开邮件中的附件，尤其是来历不明的邮件。企业级用户可在通用的邮件服务器平台开启监控系统，在邮件网关处拦截病毒，确保邮件客户端的安全。

3、企业级用户应及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒。另外为保证企业信息安全，应关闭共享目录并为管理员帐户设置强口令，不要将管理员口令设置为空或过于简单的密码。

截至记者发稿时止，江民、金山、安天、冠群金辰的病毒库均已更新，并能查杀上述病毒。感谢江民科技、金山毒霸、冠群金辰和安天为51CTO安全频道提供病毒信息。

【相关文章】

• 更多病毒日报

• 更多病毒周报