16日病毒预报：U盘病毒很厉害 当心木马新变种

【51CTO.com 独家报道】51CTO安全频道今日提醒您注意：在明天的病毒中“U盘寄生虫”变种acs、“玛格尼亚”变种、“Darliz”、“下载士兵”和“机战强盗”都值得关注。

一、明日高危病毒简介及中毒现象描述：

◆“U盘寄生虫”变种acs是“U盘寄生虫”蠕虫家族的最新成员之一，采用VC++编写，并经过加壳处理。“U盘寄生虫”变种acs运行后，在C盘根目录释放驱动文件，利用该驱动穿透还原软件，感染“%SystemRoot%\explorer.exe”文件，实现蠕虫开机自动运行。在被感染计算机系统的后台秘密监视被感染计算机上是否存在移动存储设备，一旦发现便在移动存储设备根目录下创建“autorun.inf”文件和“MSDOS.bat”文件，实现用户双击盘符启动“U盘寄生虫”变种acs运行的目的。另外，“U盘寄生虫”变种acs还会连接骇客指定的远程服务器站点，下载大量恶意程序并在被感染计算机上自动运行，严重威胁用户计算机信息安全。

◆“玛格尼亚”变种enu是“玛格尼亚”木马家族的最新成员之一，采用Delphi语言编写，并经过添加保护壳处理。“玛格尼亚”变种enu是由其它病毒体释放出来的DLL组件，采用HOOK技术和内存截取技术在被感染计算机的后台盗取《天堂》、《魔兽世界》等多款网络游戏玩家的游戏帐号、游戏密码、身上装备、背包装备、角色等级、游戏区服、计算机名称等信息，并在后台将窃取到的玩家游戏帐号信息发送到骇客指定的远程服务器站点上，造成玩家的游戏帐号、装备物品、金钱等丢失，给网络游戏玩家带来非常大的损失。

◆Darliz是一族能够下载并运行任意文件的特洛伊病毒，还包含后门功能。

运行时，Darliz变体复制到%System%中的一个子目录中，文件名和目录名都是从系统信息中生成，文件名可能显示为任意字符串，例如：

bkoaxib.exe

He3e3fc4.dll

病毒危害：

Darliz变体下载并生成DLL文件。

Darliz还能够执行以下操作：

改变用户的Internet Explorer主页；

下载并运行任意文件；

获取系统信息(Windows 版本，速率，内存等等)；

改变用户默认的搜索引擎；

从Internet Explorer 获取并发送URL；

添加注册表键值；

等等。

◆“下载士兵”运行后自动释放文件到当前用户文档和系统目录下，并删除自身。修改注册表添加病毒驱动，篡改本机explorer.exe文件，将其资源节替换成病毒体，其余部分添零补齐，达到随系统启动加载并运行病毒的目的。该病毒会自动连接网络到指定站点下载大量病毒文件并运行。给手工清除病毒带来了一定的影响，建议用专业的杀毒软件进行查杀。

◆“机战强盗”运行后调用GetSystemDirectoryA与GetWindowsDirectoryA相关API获取系统文件夹路径，复制自身到%Windir%目录下，重命名为WSockDrv32.exe，并衍生病毒文件到系统目录%system32%下；重命名为WSockDrv32.dll；病毒运行后自我删除，将WSockDrv32.dll插入到Explorer.exe系统进程；添加注册表项，以达到随机启动的目的；映像劫持tqat.exe进程,找到后就将其强行关闭，使用户从新登陆游戏，以便窃取游戏帐号及密码，通过网站形式接收游戏帐户及密码。

二、针对以上病毒，51CTO安全频道建议广大用户：

1、最好安装专业的杀毒软件进行全面监控并及时升级病毒代码库。建议用户将一些主要监控经常打开，如邮件监控、内存监控等，目的是防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。

2、请勿随意打开邮件中的附件，尤其是来历不明的邮件。企业级用户可在通用的邮件服务器平台开启监控系统，在邮件网关处拦截病毒，确保邮件客户端的安全。

3、企业级用户应及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒。另外为保证企业信息安全，应关闭共享目录并为管理员帐户设置强口令，不要将管理员口令设置为空或过于简单的密码。

截至记者发稿时止，江民、冠群金辰和安天的病毒库均已更新，并能查杀上述病毒。感谢江民科技、冠群金辰和安天为51CTO安全频道提供病毒信息。

【相关文章】

• 更多病毒日报

• 更多病毒周报