23日病毒预报：“AV杀手”在作恶 谨防盗号木马

【51CTO.com 独家报道】51CTO安全频道今日提醒您注意：在明天的病毒中“泡泡”变种aj、“AV杀手”变种fh、“感染型下载器597”、“奇迹混乱盗号者107664” 、“完美木马者”、“变异侵染者”和“Win32.Almanahe.F”都值得关注。

一、明日高危病毒简介及中毒现象描述：

◆“泡泡”变种aj是“泡泡”后门家族的最新成员之一，采用VC++语言编写，并经过加壳处理。“泡泡”变种aj运行后，自我注入到被感染计算机系统的“iexplore.exe”和“winlogon.exe”进程中并加载运行，隐藏自我，防止被查杀。修改注册表，强行篡改IE浏览器默认首页设置。在被感染计算机的后台窃取用户计算机系统的配置信息（如MAC地址、操作系统版本、用户名、PC名等），并将窃取的信息发送到骇客指定的远程服务器站点上。修改注册表，实现“泡泡”变种aj开机自动运行。在被感染计算机系统的后台通过访问指定网站地址来统计流量、提升alexa排名。在被感染计算机系统的后台终止系统报错服务。躲避某些防火墙的监控，终止某些安全软件运行，降低被感染计算机的安全性。在被感染计算机系统的后台监视当前用户是否登陆QQ、POPO等即时聊天工具，一旦发现便向其好友发送恶意广告信息。

◆“AV杀手”变种fh是“AV杀手”木马家族的最新成员之一，采用高级语言编写，并经过加壳处理。“AV杀手”变种fh运行后，自我复制到被感染计算机系统的“%SystemRoot%\system32\”和“%SystemRoot%\system32\drivers\disdn\”目录下，重命名为“Flower.exe”。在被感染计算机系统的后台终止某些安全软件，使其防护和杀毒功能失效。通过修改注册表进行映像劫持，致使用户在运行某些安全软件的时候实际上运行的是病毒程序，从而屏蔽大量安全软件，大大降低被感染计算机上的安全性。在被感染计算机系统的后台连接骇客指定站点，下载恶意程序并在被感染计算机上自动运行。其中，所下载的恶意程序可能包含网游木马、恶意广告程序、后门等，给用户带来不同程度的损失。

◆“感染型下载器597” 擅长手动查杀病毒的用户，如果注意检查被感染文件，会发现它新增一个.WIN的节表，并且文件体积有所增大。

病毒感染了文件后，将正常的文件入口改到新增加的节表中，这样，当用户运行文件，便会先激活病毒代码，然后再跳回到正常文件的入口地址。其结果就是在用户的不知不觉中，病毒已在系统中跑了起来。

如果开始运行，病毒会连接病毒作者指定的地址http://ttt.wo**on.cn/main.exe，远程下载一个病毒文件，并将其藏在系统盘的%Program Files%\Common Files\目录下，命名为WIN.exe并执行。经毒霸反病毒工程师分析，该文件为一个敏感信息后门程序。

◆“奇迹混乱盗号者107664” 这个盗号木马的作案目标是《奇迹世界》，它利用强迫用户重新登录的方法来盗取帐号和密码。在进入电脑后，它就释放出病毒文件hjiq.dll，替换掉%WINDOWS%\system32\目录下的同名系统文件。并释放出两个自己的病毒驱动文件，分别为%WINDOWS%\system32\目录下的msepion.sys及%WINDOWS%\system32\drivers\目录下的msyecp.sys。

当完成以上的病毒释放，病毒就可以顺利绕开一些安全软件的防护，遍历系统当前活动进程，找到《奇迹世界》的进程sungame.exe，将其强制结束，迫使用户重新登录。同时将DLL文件注入进程，趁机记录下用户输入的帐号和密码，实现盗号。

运行完毕后，病毒还会执行自我删除程序，删掉自己的原始文件，让用户难以发现系统中出现了多余的东西。此外，毒霸反病毒工程师在对该毒进行分析时，发现其中含有大量垃圾指令，看来，病毒作者是希望以此干扰别人对该毒的查杀。

◆“完美木马者”该病毒为盗窃网络游戏“完美世界”账号的木马。病毒运行后，复制自身到%WinDir%下，衍生病毒文件tciocp32.dll到%System32%下；添加启动项，以达到随机启动的目的；病毒试图通过全局挂钩把tciocp32.dll注入到所有进程中，查找“完美世界”的游戏窗口标题名称“zelementclient window”，监视用户操作的键盘和鼠标消息以获取网络游戏“完美世界”的账号及密码，发送到病毒作者指定的URL。其传播主要靠web传播和捆绑式传播。

◆“变异侵染者” 该病毒属蠕虫类，病毒运行后判断进程列表中是否含有smss.exe，若没有则退出，否则复制自身到%Windir%\tasks目录下，更名为0x01xx8p.exe，复制%System32%下文件sploovs.exe到%Windir%\tasks目录下，更名为SysFile.brk，病毒将衍生文件置于%Windir%\tasks目录下，利用了通过命令行移动到该目录下文件不能在资源管理器中显示的特点；在%System32%\sploovs.exe文件“0”数据前添加病毒代码16143字节（含节对齐后尾部“0”代码），并将该节节名由.rsrc更改为.MYCao；检测进程列表中是否有kvsrvxp.exe、avp.exe、kissvc.exe，若有将其关闭，修改注册表，为zzz.sys创建服务，重新启动后服务注册表项将被删除；下次启动计算机时将有打印服务启动病毒文件并加载该服务；连接网络下载病毒数据文件，后根据病毒数据文件执行相关操作以及下载病毒文件并执行；该病毒还试图感染各类文件、删除.gho文件，加载驱动，但由于病毒自身原因，病毒体代码未能执行。

◆Win32.Almanahe.F是一种通过网络共享复制的病毒。它在系统上安装一个rootkit，下载并运行任意文件。
当一个被感染文件运行时，Almanahe.F生成文件到以下位置：
%Windows%\linkinfo.dll
%System%\drivers\nvmini.sys
%System%\drivers\IsDrv118.sys

病毒危害：
下载并运行任意文件。
终止某些程序进程。

二、针对以上病毒，51CTO安全频道建议广大用户：

1、最好安装专业的杀毒软件进行全面监控并及时升级病毒代码库。建议用户将一些主要监控经常打开，如邮件监控、内存监控等，目的是防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。

2、请勿随意打开邮件中的附件，尤其是来历不明的邮件。企业级用户可在通用的邮件服务器平台开启监控系统，在邮件网关处拦截病毒，确保邮件客户端的安全。

3、企业级用户应及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒。另外为保证企业信息安全，应关闭共享目录并为管理员帐户设置强口令，不要将管理员口令设置为空或过于简单的密码。

截至记者发稿时止，江民、金山、安天、冠群金辰的病毒库均已更新，并能查杀上述病毒。感谢江民科技、金山毒霸、冠群金辰和安天为51CTO安全频道提供病毒信息。

【相关文章】

• 更多病毒日报

• 更多病毒周报