30日病毒预报：代理木马在破坏 “潜伏者”很恶劣

【51CTO.com 独家报道】51CTO安全频道今日提醒您注意：在明天的病毒中“代理木马”变种fz、“赛门斯”变种、“潜伏者”、““锁定凶手”变种”和“Win32.Bancos Family”都值得关注。

一、明日高危病毒简介及中毒现象描述：

◆“代理木马”变种fz是“代理木马”木马家族的最新成员之一，利用影音播放器软件溢出漏洞传播其它病毒，采用javascript脚本语言编写，并且经过加密处理。“代理木马”变种fz一般内嵌在正常网页中，如果用户计算机没有及时升级修补影音播放器软件相应的漏洞补丁，那么当用户使用浏览器访问带有“代理木马”变种fz的恶意网页时，就会在当前用户计算机的后台连接骇客指定站点，下载大量恶意程序并在被感染计算机上自动运行。所下载的恶意程序可能为是网游木马、恶意广告程序、后门等，给用户带来不同程度的损失。

◆“赛门斯”变种是“赛门斯”广告程序家族的最新成员之一，采用VC++ 6.0编写。“赛门斯”变种运行后，在被感染计算机的后台获取系统网卡的MAC地址，收集被感染计算机系统的配置信息。在后台连接骇客指定站点，进行访问量的统计和其它恶意程序下载等操作。读取注册表相关键值，检查自身组件是否被禁用，一旦发现被禁用便重新启动病毒文件。自我注册为BHO，实现“赛门斯”变种随系统浏览器的启动而加载运行。另外，“赛门斯”变种可能会在被感染计算机系统中定时弹出恶意网页、广告窗口等，干扰用户的正常操作。

◆“潜伏者”该病毒为木马类。病毒运行后释放文件%Documents and Settings%\Local Settings\Temp\dat7.tmp、%Documents and Settings%\Local Settings\Temp\dat8.tmp、%Windir%\Temp\dat9.tmp
。并将释放文件插入到Winlogon.exe进程中，连接网络获取病毒下载列表，下载大量的病毒文件并运行。其中以盗号木马居多。这给病毒的清除带来了一定的困难。

◆““锁定凶手”变种”该病毒为下载类木马，病毒运行后，复制自身到"%Documents and Settings%\All Users\「开始」菜单\程序\启动"下，以达到在任意用户启动系统的时候加载该病毒文件；通过给当前系统内执行的进程拍快照，来判断是否存在AVP.exe进程，存在便修改系统时间为2003年，月、日不变，以使卡巴斯基过期失效；连接网落，通过读取病毒内部下载列表，利用API函数URLDownloadToCacheFile下载病毒到临时文件夹下，使用API函数WinExec执行下载后的病毒文件；当此病毒实现完自身的功能后，便会结束病毒进程、删除自身。

◆Win32.Bancos Family名字用来描述很多特洛伊，它们都有一个共同的特征，它们尝试盗窃敏感信息，用来通过网上银行未经授权的进入银行帐户。Bancos的很多变体的目标是巴西银行。第一个发现的Bancos特洛伊是在2003年，现在已经有2000多种变体，每天都会发现很多。

Bancos的一些变体作为按键记录器（keyloggers），跟踪记录用户进入特定网页的按键。还有一些使用网络钓鱼技术，显示假的某个银行的登陆窗口，随后进入获取信息。

二、针对以上病毒，51CTO安全频道建议广大用户：

1、最好安装专业的杀毒软件进行全面监控并及时升级病毒代码库。建议用户将一些主要监控经常打开，如邮件监控、内存监控等，目的是防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。

2、请勿随意打开邮件中的附件，尤其是来历不明的邮件。企业级用户可在通用的邮件服务器平台开启监控系统，在邮件网关处拦截病毒，确保邮件客户端的安全。

3、企业级用户应及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒。另外为保证企业信息安全，应关闭共享目录并为管理员帐户设置强口令，不要将管理员口令设置为空或过于简单的密码。

截至记者发稿时止，江民、安天、冠群金辰的病毒库均已更新，并能查杀上述病毒。感谢江民科技、冠群金辰和安天为51CTO安全频道提供病毒信息。

【相关文章】

• 更多病毒日报

• 更多病毒周报