“桌面幽灵”奇袭互联网 综合磁碟机等多种病毒特征

【51CTO.com 综合报道】2008年4月30日，江民反病毒中心发出紧急病毒警报，一种名为“桌面幽灵”的新病毒开始出现在互联网上，目前已有数百名用户上报电脑受该病毒感染。病毒综合了“磁碟机”“系统杀手”“ARP杀手”“机器狗”等多种恶意病毒特征于一体，不但会关闭多数杀毒软件，还会在后台窃取网游帐号密码、弹出恶意广告，严重危害电脑用户的系统和使用安全。

江民反病毒专家介绍，“桌面幽灵”系一种木马下载器蠕虫。病毒运行后，首先会将恶意代码注入到系统“svchost.exe”进程中，实现反安全软件的功能。然后，病毒会在用户电脑临时文件夹中释放安装3个带有“wxp2ins”字样的恶意驱动程序，来破坏计算机的安全防护机制。最后利用恶意磁盘过滤驱动程序去覆盖“explorer.exe”系统桌面程序，借助该程序去实现开机自启动，下载包括“系统杀手”“ARP杀手”“代理木马”“机器狗”等大量木马病毒到用户计算机中安装运行，给中毒电脑用户带来巨大危害。

“桌面幽灵”具有一整套的自我保护和反安全软件的机制。首先，病毒会检测自身进程是否被其它调试软件所调试分析，如果发现自身正在被调试分析则自动关闭退出，防止病毒研究人员分析该病毒。病毒会遍历当前计算机系统中的进程列表，如发现有“AVP.EXE”进程存在，则设置系统年份为2001年，使某款国外杀毒由于时间处理错误的BUG，利用杀毒软件正版保护系统的设计缺陷，导致其杀毒等功能失效。。病毒在被感染计算机的后台以挂起的方式调用系统“svchost.exe”进程，并将恶意可执行代码注入到已挂起的系统“svchost.exe”进程的内存空间中，然后恢复挂起，使其系统“svchost.exe”进程开始执行恶意操作。注入的恶意代码系“Trojan/AntiAV.a“系统杀手”变种a”木马病毒进程，主要用来执行自我保护和关闭多种安全软件，以及病毒自我升级和自动网页挂马等多种功能。

“桌面幽灵”在任务执行完毕后，会马上关闭退出。在退出时，被注入恶意代码的系统“svchost.exe”进程会删除掉病毒所在磁盘中的文件，使用户无法寻找到该病毒样本。

“桌面幽灵”运行后，会在系统文件下释放3个包括“wxp2ins”字样的临时文件。经分析，这3个文件分别为“ARP杀手”变种b、“ARP杀手”变种a、“代理木马”变种aeit。“ARP杀手”变种a和b的共同特征是使部分安全软件的防御系统和监控系统失效，从而达到木马免杀和躲避监控的目的。“代理木马”变种aeit通过恶意磁盘过滤驱动程序去破坏被感染计算机磁盘中的系统文件，具有绕过“还原保护系统”从而破坏被感染计算机真实磁盘中系统文件的功能，使用户防不胜防。上述三种病毒都是属于“桌面幽灵”恶意程序集合中的一个功能模块，伴随着这些恶意模块，还会有很多其它恶意程序模块一起安装到了被感染计算机用户的系统中。如果用户计算机感染了该类病毒，那么很难彻底清除干净，给染毒计算机系统的用户带来不同程度的损失。

“桌面幽灵”还具有“机器狗”变种病毒特征，病毒通过远程下载的方式，利用恶意磁盘过滤驱动程序去覆盖“explorer.exe”系统桌面程序，在被感染计算机系统的后台去连接骇客指定远程服务器站点“http://122.224.5.16/”，下载其它恶意程序“x.exe”并自动调用安装运行。其中，所下载的恶意程序“x.exe”可能为网络游戏盗号木马、木马下载器、蠕虫病毒等。

江民反病毒专家认为，“桌面幽灵”系一种罕见的病毒综合体，他包含了近年来发作的多种恶性病毒几乎所有的典型特征，而且由于病毒拥有自身的升级更新服务，变种十分快速，导致很多用户电脑遭受病毒感染。